Podatność w Progress WhatsUp Gold przed wersją 2024.0.2 umożliwia uwierzytelnionemu atakującemu uzyskanie nieautoryzowanego dostępu do serwera za pośrednictwem publicznego API. Ze względu na wysoki wynik CVSS (9.6) i zakres oddziaływania wykraczający poza podatny komponent, podatność stanowi poważne zagrożenie dla środowisk monitoringu sieci.
▸ Pokaż oryginał (EN)
In WhatsUp Gold versions released before 2024.0.2, an attacker can gain access to the WhatsUp Gold server via the public API.
Podatność sklasyfikowana jako CWE-290 (Authentication Bypass by Spoofing) pozwala atakującemu na ominięcie mechanizmów uwierzytelniania lub autoryzacji poprzez publiczne API WhatsUp Gold. Atakujący posiadający podstawowy dostęp sieciowy (PR:L) może, bez interakcji użytkownika, przesłać spreparowane żądania do API, które są akceptowane przez serwer pomimo braku odpowiednich uprawnień. Mechanizm obrony przed podszywaniem się jest nieskuteczny, co umożliwia przejęcie kontekstu serwera.
Atakujący może uzyskać nieautoryzowany dostęp do serwera WhatsUp Gold, co grozi ujawnieniem poufnych danych konfiguracyjnych i danych monitoringu sieci (C:H) oraz modyfikacją danych lub konfiguracji systemu (I:H). Zasięg ataku wykracza poza bezpośrednio podatny komponent (S:C), co może prowadzić do dalszego lateral movement w infrastrukturze.
Należy niezwłocznie zaktualizować Progress WhatsUp Gold do wersji 2024.0.2 lub nowszej. Szczegółowe informacje o patchu dostępne są pod adresem https://www.progress.com/network-monitoring. Do czasu aktualizacji zaleca się ograniczenie dostępu do publicznego API wyłącznie do zaufanych adresów IP poprzez reguły firewall.
Progress WhatsUp Gold we wszystkich wersjach wydanych przed 2024.0.2, działający na platformie Microsoft Windows
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:NMicrosoft Windows
OSMicrosoftwszystkie wersjeProgress Whatsup Gold
APPProgress23.1.0 – 24.0.2 (bez)
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
SQL Injection w Progress WhatsUp Gold — kradzież zaszyfrowanych haseł
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows