CRITICAL🇬🇧 English

CVE-2024-12106

Progress WhatsUp Gold — nieautoryzowana konfiguracja ustawień LDAP

CVSS 9.4v3.1pub. 2024-12-31upd. 2025-01-06

Podatność w Progress WhatsUp Gold umożliwia nieuwierzytelnionemu atakującemu zmianę ustawień LDAP bez jakiejkolwiek autoryzacji. Ze względu na sieciowy charakter ataku i brak wymagań wstępnych, stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury monitorującej.

Pokaż oryginał (EN)

In WhatsUp Gold versions released before 2024.0.2, an unauthenticated attacker can configure LDAP settings.

🤖 Analiza AI
Jak działa

Błąd wynika z braku mechanizmu uwierzytelniania (CWE-306) chroniącego endpoint odpowiedzialny za konfigurację LDAP. Atakujący, bez posiadania jakichkolwiek poświadczeń, może wysłać żądanie sieciowe bezpośrednio do aplikacji i nadpisać ustawienia integracji z katalogiem LDAP. Pozwala to na przekierowanie procesu uwierzytelniania użytkowników do kontrolowanego przez atakującego serwera LDAP.

Skutki

Atakujący może przejąć kontrolę nad procesem uwierzytelniania użytkowników aplikacji, co w praktyce może prowadzić do przechwycenia poświadczeń lub uzyskania nieautoryzowanego dostępu do systemu monitorowania sieci WhatsUp Gold z wysokimi uprawnieniami.

Mitygacja

Należy niezwłocznie zaktualizować Progress WhatsUp Gold do wersji 2024.0.2 lub nowszej. Dodatkowe informacje dostępne są w referencjach producenta pod adresem https://www.progress.com/network-monitoring

Kogo dotyczy

Progress WhatsUp Gold — wszystkie wersje wydane przed 2024.0.2

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
  • Progress Whatsup Gold

    APP
    Progress
    23.1.0 – 24.0.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-6670CRITICAL9.8⚠ KEVPL ✓ten sam produkt

SQL Injection w Progress WhatsUp Gold — kradzież zaszyfrowanych haseł

CVE-2024-4885CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Progress WhatsUp Gold – nieuwierzytelniony RCE przez path traversal

CVE-2024-12108CRITICAL9.6PL ✓ten sam produkt

Progress WhatsUp Gold — nieautoryzowany dostęp do serwera przez publiczne API

CVE-2024-46909CRITICAL9.8PL ✓ten sam produkt

Zdalne wykonanie kodu w Progress WhatsUp Gold (RCE bez uwierzytelnienia)

CVE-2024-8785CRITICAL9.8PL ✓ten sam produkt

Progress WhatsUp Gold – nieautoryzowana modyfikacja rejestru Windows przez NmAPI.exe