Progress Software 发布了针对严重漏洞的紧急修复程序,该漏洞被跟踪为 CVE-2024-7591,该漏洞会影响其 LoadMaster 和 LoadMaster 多租户 (MT) 管理程序产品。该漏洞是一个不正确的输入验证问题,可能允许未经身份验证的远程攻击者使用特制的 HTTP 请求访问 LoadMaster 的管理界面。“有权访问 LoadMaster 管理界面的未经身份验证的远程攻击者可能会发出精心设计的 http 请求,从而允许执行任意系统命令。”公告中写道。“通过清理请求用户输入来缓解任意系统命令的执行,此漏洞已得到解决。”Progress LoadMaster 是一款高性能应用程序交付控制器 (ADC) 和负载均衡器。它旨在增强业务关键型应用程序和网站的可用性、可扩展性、性能和安全性。此漏洞可能使攻击者能够在受影响的系统上执行任意命令。以下是受影响的产品版本列表:产品受影响的版本修补版本发布日期负载大师7.2.60.0 和所有以前的版本Add-on PackageXML 验证文件9月 03 2024多租户虚拟机管理程序7.1.35.11 和所有以前的版本Add-on PackageXML 验证文件9月 03 2024如果满足以下条件,则多租户 LoadMaster (LoadMaster MT) 会受到影响:单个实例化的 LoadMaster VNF 容易受到攻击,必须尽快使用上面列出的附加组件进行修补。请注意,MT 管理程序或 Manager 节点也容易受到攻击,必须尽快使用上面列出的附加组件进行修补。正如用户在咨询评论中报告的那样,Progress 发布的插件包不允许在免费版本上安装。好消息是,Progress 没有发现利用此漏洞的野外攻击。“我们没有收到任何关于此漏洞已被利用的报告,我们不知道对客户有任何直接影响,”公告称。“尽管如此,我们鼓励所有客户尽快升级他们的 LoadMaster 实施,以强化他们的环境。”
