Progress修補網管軟體WhatsUp Gold重大層級漏洞

上個月Progress發布資安公告，指出旗下的網管軟體WhatsUp Gold存在漏洞CVE-2024-12105、CVE-2024-12106、CVE-2024-12108，呼籲用戶升級至24.0.2版緩解相關弱點。

根據CVSS風險評分，這一波安全性修補當中，最值得留意的是列為重大層級的CVE-2024-12106、CVE-2024-12108，其中又以CVE-2024-12108較為危險，攻擊者可利用公開API的存取WhatsUp Gold伺服器，風險評分達到9.6（滿分10分）。

另一個也相當危險的重大漏洞是CVE-2024-12106，因為攻擊者可在未經身分驗證的情況下，竄改LDAP的組態設定，CVSS風險為9.4。

至於CVE-2024-12105，該公司指出是資訊洩露弱點，通過身分驗證的攻擊者可利用特製的HTTP請求觸發漏洞，風險評為6.5。

值得留意的是，Progress前一次9月修補的WhatsUp Gold漏洞也相當嚴重，其中一個重大層級漏洞CVE-2024-8785，通報此事的資安業者Tenable於12月公布概念性驗證程式碼（PoC）與相關細節。