在最近的安全公告中,Progress Software 宣布发现六个影响其热门网络监控应用程序 WhatsUp Gold 的关键漏洞。世界各地的组织都依靠 WhatsUp Gold 来跟踪服务器及其上运行的服务的正常运行时间和可用性。但是,这些新发现的漏洞会带来重大风险,可能允许对网络基础设施进行未经授权的访问和控制。
这 6 个漏洞会影响 24.0.1 以下的所有 WhatsUp Gold 版本。已为他们分配了以下常见漏洞和披露 (CVE) 标识符和严重性评分:
- CVE-2024-46909:CVSS 9.8
- CVE-2024-8785:CVSS 9.8 漏洞
- CVE-2024-46908:CVSS 8.8
- CVE-2024-46907:CVSS 8.8
- CVE-2024-46906:CVSS 8.8 漏洞
- CVE-2024-46905:CVSS 8.8
虽然目前限制提供有关这些漏洞的详细信息以防止利用,但它们的高严重性分数表明,它们可能允许攻击者执行远程代码、获得未经授权的访问或中断网络服务。
这不是 WhatsUp Gold 第一次成为安全关注的焦点。最近披露的漏洞,例如 CVE-2024-4885(影响 23.1.2 及更早版本的关键未经身份验证的远程代码执行漏洞)已经被广泛利用。此外,自 8 月 30 日以来,黑客一直使用两个 SQL 注入漏洞 CVE-2024-6670 和 CVE-2024-6671 来检索加密的密码,而无需进行身份验证。
这些事件凸显了组织及时解决新发现的漏洞的紧迫性。
Progress Software 正在主动联系所有 WhatsUp Gold 客户,敦促他们将环境升级到新发布的 24.0.1 版本,该版本解决了所有六个漏洞。