Ejecución de comandos arbitrarios en productos Progress Software

Fecha de publicación 23/02/2024

Identificador

INCIBE-2024-0096

Importancia

5 - Crítica

Recursos Afectados

LMOS (LoadMaster Operating System), versiones anteriores a:
- 7.2.59.2;
- 7.2.54.8;
- 7.2.48.10.
Todas las versiones standalone de ECS Connection Manager (ECS CM).

Descripción

Rhino Security Labs ha detectado una vulnerabilidad crítica en productos de Progress Software. Un atacante remoto, no autenticado, podría acceder al sistema a través de la interfaz de gestión LoadMaster, permitiendo la ejecución arbitraria de comandos del sistema.

Solución

LMOS, versiones:
- 7.2.59.2;
- 7.2.54.8;
- 7.2.48.10.
ECS CM, versión 7.2.59.2.

Detalle

Un atacante remoto, no autenticado, con acceso a la interfaz de gestión de LoadMaster, podría explotar esta vulnerabilidad enviando un comando malicioso a través de la API, con el objetivo de ejecutar comandos arbitrarios del sistema sin necesidad de realizar una autenticación previa. Se ha asignado el identificador CVE-2024-1212 para esta vulnerabilidad.

Listado de referencias

Release Notice: LMOS 7.2.59.2, 7.2.54.8, 7.2.48.10 (CVE-2024-1212)

LoadMaster Security Vulnerability CVE-2024-1212

ECS Connection Manager Security Vulnerability CVE-2024-1212

Etiquetas