CRITICAL🇬🇧 English

CVE-2024-12108

Progress WhatsUp Gold — nieautoryzowany dostęp do serwera przez publiczne API

CVSS 9.6v3.1pub. 2024-12-31upd. 2025-01-06

Podatność w Progress WhatsUp Gold przed wersją 2024.0.2 umożliwia uwierzytelnionemu atakującemu uzyskanie nieautoryzowanego dostępu do serwera za pośrednictwem publicznego API. Ze względu na wysoki wynik CVSS (9.6) i zakres oddziaływania wykraczający poza podatny komponent, podatność stanowi poważne zagrożenie dla środowisk monitoringu sieci.

Pokaż oryginał (EN)

In WhatsUp Gold versions released before 2024.0.2, an attacker can gain access to the WhatsUp Gold server via the public API.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-290 (Authentication Bypass by Spoofing) pozwala atakującemu na ominięcie mechanizmów uwierzytelniania lub autoryzacji poprzez publiczne API WhatsUp Gold. Atakujący posiadający podstawowy dostęp sieciowy (PR:L) może, bez interakcji użytkownika, przesłać spreparowane żądania do API, które są akceptowane przez serwer pomimo braku odpowiednich uprawnień. Mechanizm obrony przed podszywaniem się jest nieskuteczny, co umożliwia przejęcie kontekstu serwera.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do serwera WhatsUp Gold, co grozi ujawnieniem poufnych danych konfiguracyjnych i danych monitoringu sieci (C:H) oraz modyfikacją danych lub konfiguracji systemu (I:H). Zasięg ataku wykracza poza bezpośrednio podatny komponent (S:C), co może prowadzić do dalszego lateral movement w infrastrukturze.

Mitygacja

Należy niezwłocznie zaktualizować Progress WhatsUp Gold do wersji 2024.0.2 lub nowszej. Szczegółowe informacje o patchu dostępne są pod adresem https://www.progress.com/network-monitoring. Do czasu aktualizacji zaleca się ograniczenie dostępu do publicznego API wyłącznie do zaufanych adresów IP poprzez reguły firewall.

Kogo dotyczy

Progress WhatsUp Gold we wszystkich wersjach wydanych przed 2024.0.2, działający na platformie Microsoft Windows

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
  • Progress Whatsup Gold

    APP
    Progress
    23.1.0 – 24.0.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-6670CRITICAL9.8⚠ KEVPL ✓ten sam produkt

SQL Injection w Progress WhatsUp Gold — kradzież zaszyfrowanych haseł

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows