CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2024-6670

SQL Injection w Progress WhatsUp Gold — kradzież zaszyfrowanych haseł

CVSS 9.8v3.1pub. 2024-08-29upd. 2025-10-31

W wersjach Progress WhatsUp Gold wydanych przed 2024.0.0 istnieje podatność SQL Injection umożliwiająca nieuwierzytelnionemu atakującemu pobranie zaszyfrowanych haseł użytkowników. Podatność jest aktywnie wykorzystywana w atakach i została umieszczona w katalogu CISA KEV.

Pokaż oryginał (EN)

In WhatsUp Gold versions released before 2024.0.0, a SQL Injection vulnerability allows an unauthenticated attacker to retrieve the users encrypted password.

🤖 Analiza AI
Jak działa

Atakujący bez żadnego uwierzytelnienia może wysłać specjalnie spreparowane żądanie zawierające złośliwy kod SQL do aplikacji WhatsUp Gold. Podatność wynika z niewystarczającej walidacji i sanityzacji danych wejściowych przed ich użyciem w zapytaniach do bazy danych (CWE-89). W rezultacie aplikacja wykonuje niezamierzone zapytania SQL, zwracając atakującemu zaszyfrowane hasła kont użytkowników przechowywane w bazie danych.

Skutki

Atakujący może pobrać zaszyfrowane hasła wszystkich użytkowników systemu, co w dalszej kolejności może prowadzić do ich złamania i przejęcia kont, a tym samym do pełnego przejęcia kontroli nad systemem monitorowania sieci.

Mitygacja

Należy niezwłocznie zaktualizować Progress WhatsUp Gold do wersji 2024.0.0 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta opublikowanym w sierpniu 2024 roku pod adresem: https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-August-2024

Kogo dotyczy

Progress WhatsUp Gold we wszystkich wersjach wydanych przed 2024.0.0

Uwagi

Podatność znajduje się w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Biuletyn bezpieczeństwa producenta został opublikowany 2024-08-29.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Progress Whatsup Gold

    APP
    Progress
    < 24.0

CISA KEV — szczegółyi

Dostawcai
Progress
Produkti
WhatsUp Gold
Data dodania do KEVi
16 września 2024
Termin remediation (USA)i
7 października 2024(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Progress WhatsUp Gold zawiera lukę SQL injection, która umożliwia nieuwierzytelnionemu atakującemu pobranie zaszyfrowanego hasła użytkownika, jeśli aplikacja jest skonfigurowana z tylko jednym użytkownikiem.

tłumaczenie AI
Pokaż oryginał (EN)

Progress WhatsUp Gold contains a SQL injection vulnerability that allows an unauthenticated attacker to retrieve the user's encrypted password if the application is configured with only a single user.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 7 października 2024
Tagi
SQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-4885CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Progress WhatsUp Gold – nieuwierzytelniony RCE przez path traversal

CVE-2024-12106CRITICAL9.4PL ✓ten sam produkt

Progress WhatsUp Gold — nieautoryzowana konfiguracja ustawień LDAP

CVE-2024-12108CRITICAL9.6PL ✓ten sam produkt

Progress WhatsUp Gold — nieautoryzowany dostęp do serwera przez publiczne API

CVE-2024-46909CRITICAL9.8PL ✓ten sam produkt

Zdalne wykonanie kodu w Progress WhatsUp Gold (RCE bez uwierzytelnienia)

CVE-2024-8785CRITICAL9.8PL ✓ten sam produkt

Progress WhatsUp Gold – nieautoryzowana modyfikacja rejestru Windows przez NmAPI.exe