Vulnerabilidad en LoadMaster (CVE-2024-2449)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
22/03/2024
Última modificación:
10/02/2025
Descripción
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery en LoadMaster. Es posible que un actor malintencionado, que tenga conocimiento previo de la IP o el nombre de host de un LoadMaster específico, dirija a un administrador de LoadMaster autenticado a un sitio de terceros. En tal escenario, el payload CSRF alojado en el sitio malicioso ejecutaría transacciones HTTP en nombre del administrador de LoadMaster.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:progress:loadmaster:*:*:*:*:ltsf:*:*:* | 7.2.49.0 (incluyendo) | 7.2.54.9 (excluyendo) |
| cpe:2.3:a:progress:loadmaster:*:*:*:*:ga:*:*:* | 7.2.55.0 (incluyendo) | 7.2.59.3 (excluyendo) |
| cpe:2.3:a:progress:loadmaster:7.1.35.10:*:*:*:mt:*:*:* | ||
| cpe:2.3:a:progress:loadmaster:7.2.48.10:*:*:*:lts:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://progress.com/loadmaster
- https://support.kemptechnologies.com/hc/en-us/articles/25119767150477-LoadMaster-Security-Vulnerabilities-CVE-2024-2448-and-CVE-2024-2449
- https://progress.com/loadmaster
- https://support.kemptechnologies.com/hc/en-us/articles/25119767150477-LoadMaster-Security-Vulnerabilities-CVE-2024-2448-and-CVE-2024-2449