VietNetwork.Vn

Progress Software đã phát hành bản cập nhật bảo mật cho lỗ hổng nghiêm trọng nhất trong LoadMaster và trình quản lý ảo Multi-Tenant (MT) có thể dẫn đến việc thực thi các lệnh hệ điều hành tùy ý.

Được theo dõi với mã là CVE-2024-7591 (điểm CVSS: 10.0), lỗ hổng này được mô tả là lỗi xác thực đầu vào không đúng cách dẫn đến việc chèn lệnh hệ điều hành.


Tuần trước, công ty cho biết trong một thông báo: "Những kẻ tấn công từ xa chưa được xác thực có quyền truy cập vào giao diện quản lý của LoadMaster có thể đưa ra một yêu cầu http được thiết kế cẩn thận để cho phép thực thi các lệnh hệ thống tùy ý".

"Lỗ hổng này đã được khắc phục bằng cách khử trùng yêu cầu nhập dữ liệu của người dùng để giảm thiểu việc thực thi các lệnh hệ thống tùy ý."

Lỗi này ảnh hưởng đến các phiên bản sau:

• LoadMaster (7.2.60.0 và tất cả các phiên bản trước đó)
• Hypervisor đa thuê bao (7.1.35.11 và tất cả các phiên bản trước đó)

Nhà nghiên cứu bảo mật Florian Grunow được ghi nhận là người phát hiện và báo cáo lỗ hổng. Progress cho biết họ không tìm thấy bằng chứng nào cho thấy lỗ hổng này đang bị khai thác trong thực tế.

Tuy nhiên, chúng tôi khuyến cáo người dùng nên áp dụng bản sửa lỗi mới nhất càng sớm càng tốt bằng cách tải xuống gói bổ sung. Bản cập nhật có thể được cài đặt bằng cách điều hướng đến Cấu hình hệ thống > Quản trị hệ thống > Cập nhật phần mềm.

"Chúng tôi khuyến khích tất cả khách hàng nâng cấp các triển khai LoadMaster của họ càng sớm càng tốt để tăng cường bảo mật cho môi trường của họ", công ty cho biết. "Chúng tôi cũng đặc biệt khuyến nghị khách hàng tuân thủ các hướng dẫn tăng cường bảo mật của chúng tôi ".