Progress Software đã phát hành các bản cập nhật bảo mật cho một lỗ hổng nghiêm trọng tối đa trong LoadMaster và Multi-Tenant (MT) hypervisor có thể dẫn đến việc thực thi các lệnh hệ điều hành tùy ý.
Được theo dõi là CVE-2024-7591 (điểm CVSS: 10.0), lỗ hổng đã được mô tả là lỗi xác thực đầu vào không đúng cách dẫn đến việc tiêm lệnh hệ điều hành.
"Những kẻ tấn công từ xa, không được xác thực có quyền truy cập vào giao diện quản lý của LoadMaster có thể đưa ra một yêu cầu http được chế tạo cẩn thận cho phép các lệnh hệ thống tùy ý được thực thi", công ty cho biết trong một tư vấn tuần trước.
"Lỗ hổng này đã được đóng lại bằng cách vệ sinh đầu vào của người dùng yêu cầu để giảm thiểu việc thực thi các lệnh hệ thống tùy ý."
Lỗ hổng ảnh hưởng đến các phiên bản sau -
- LoadMaster (7.2.60.0 và tất cả các phiên bản trước)
- Multi-Tenant Hypervisor (7.1.35.11 và tất cả các phiên bản trước)
Nhà nghiên cứu bảo mật Florian Grunow đã được ghi nhận là người phát hiện và báo cáo lỗ hổng. Progress cho biết họ không tìm thấy bằng chứng về lỗ hổng đang bị khai thác trong tự nhiên.
Điều đó nói rằng, người dùng nên áp dụng các bản sửa lỗi mới nhất càng sớm càng tốt bằng cách tải xuống gói tiện ích bổ sung. Bản Cập Nhật có thể được cài đặt bằng cách điều hướng đến Cấu hình hệ thống > Quản trị hệ thống > Cập nhật phần mềm.
"Chúng tôi đang khuyến khích tất cả khách hàng nâng cấp việc triển khai LoadMaster của họ càng sớm càng tốt để củng cố môi trường của họ", công ty cho biết. "Chúng tôi cũng đặc biệt khuyên khách hàng nên tuân theo các nguyên tắc tăng cường bảo mật của chúng tôi."