Inyección de comandos en productos de Progress Kemp

Fecha de publicación 06/09/2024
Importancia
5 - Crítica
Recursos Afectados
  • LoadMaster, versiones 7.2.60.0 y anteriores.
  • Multi-Tenant Hypervisor, versiones 7.1.35.11 y anteriores.
Descripción

Florian Grunow, investigador de ERNW, ha reportado una vulnerabilidad de severidad crítica que afecta a varios productos de Progress Kemp, cuya explotación podría permitir a un atacante inyectar comandos del sistema operativo.

Solución

Los clientes deben instalar el paquete add-on para corregir esta vulnerabilidad (disponible un archivo de validación XML).

Detalle

La vulnerabilidad se origina por una validación de entrada incorrecta, lo que podría permitir a un atacante remoto, no autenticado, inyectar comandos del sistema operativo a través de solicitudes HTTP maliciosas dirigidas a la interfaz de gestión de LoadMaster. 

Se ha asignado el identificador CVE-2024-7591 para esta vulnerabilidad.