Vulnerabilidad en Progress Software Corporation (CVE-2024-3544)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-798 Credenciales embebidas en el software

Fecha de publicación:

02/05/2024

Última modificación:

03/02/2025

Descripción

Los atacantes no autenticados pueden realizar acciones utilizando claves privadas SSH conociendo la dirección IP y teniendo acceso a la misma red de una de las máquinas del grupo HA o Cluster. Esta vulnerabilidad se ha solucionado mejorando las comunicaciones con los socios de LoadMaster para requerir un secreto compartido que debe intercambiarse entre los socios antes de que pueda continuar la comunicación.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:progress:loadmaster:::::lts:::*		7.2.48.11 (excluyendo)
cpe:2.3:a:progress:loadmaster:::::ltsf:::*	7.2.49.0 (incluyendo)	7.2.54.10 (excluyendo)
cpe:2.3:a:progress:loadmaster:::::ga:::*	7.2.55.0 (incluyendo)	7.2.59.4 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en Progress Software Corporation (CVE-2024-3544)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información