W wersjach Progress WhatsUp Gold wydanych przed 2023.1.3 istnieje krytyczna podatność umożliwiająca nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i figuruje w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
In WhatsUp Gold versions released before 2023.1.3, an unauthenticated Remote Code Execution vulnerability in Progress WhatsUpGold. The WhatsUp.ExportUtilities.Export.GetFileWithoutZip allows execution of commands with iisapppool\nmconsole privileges.
Podatność tkwi w funkcji WhatsUp.ExportUtilities.Export.GetFileWithoutZip, która nie weryfikuje poprawnie ścieżek plików przekazywanych przez użytkownika (CWE-22, path traversal). Atakujący nieposiadający żadnych uprawnień może za pomocą spreparowanego żądania sieciowego wywołać tę funkcję i doprowadzić do wykonania dowolnych poleceń systemowych. Polecenia są uruchamiane w kontekście konta usługowego iisapppool\nmconsole, co daje atakującemu przyczółek w systemie operacyjnym serwera.
Atakujący może zdalnie wykonać dowolny kod na serwerze bez konieczności uwierzytelnienia, co prowadzi do pełnego przejęcia kontroli nad systemem, kradzieży danych oraz potencjalnego lateral movement w sieci wewnętrznej.
Należy natychmiast zaktualizować Progress WhatsUp Gold do wersji 2023.1.3 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta: https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-June-2024
Progress WhatsUp Gold we wszystkich wersjach wydanych przed 2023.1.3
Podatność została uwzględniona w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystywanie jej w atakach. Biuletyn bezpieczeństwa producenta opublikowano w czerwcu 2024 r.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HProgress Whatsup Gold
APPProgress< 23.1.3
CISA KEV — szczegółyi
- Dostawcai
- Progress ↗
- Produkti
- WhatsUp Gold
- Data dodania do KEVi
- 3 marca 2025
- Termin remediation (USA)i
- 24 marca 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dotyczącymi usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Progress WhatsUp Gold zawiera lukę path traversal, która pozwala niezalogowanemu atakującemu na uzyskanie RCE.
▸ Pokaż oryginał (EN)
Progress WhatsUp Gold contains a path traversal vulnerability that allows an unauthenticated attacker to achieve remote code execution.
Powiązane podatności
SQL Injection w Progress WhatsUp Gold — kradzież zaszyfrowanych haseł
Progress WhatsUp Gold — nieautoryzowana konfiguracja ustawień LDAP
Progress WhatsUp Gold — nieautoryzowany dostęp do serwera przez publiczne API
Zdalne wykonanie kodu w Progress WhatsUp Gold (RCE bez uwierzytelnienia)
Progress WhatsUp Gold – nieautoryzowana modyfikacja rejestru Windows przez NmAPI.exe