Progress Software 公司提醒客户，尽快修复 WhatsUp Gold 网络监控工具中的多个严重和高危漏洞。

然而，尽管 Progess 公司已发布 WhatsUp Gold 24.0.1，在上周五修复了这些问题并在上周二发布安全公告，但尚未发布任何漏洞详情。

该公司提醒客户称，“WhatsUp Gold 团队在24.0.1以下版本中发现了6个漏洞。我们提醒所有 WhatsUp Gold 客户尽快将环境升级至在9月20日周五发布的版本24.0.1。如果你运行的版本低于24.0.1且未更新，则环境依然是易受影响的。”

Progress 公司给出的唯一信息是这六个漏洞是由 Summoning 团队的 Sina Kheirkhan、趋势科技的Andy Niu 和 Tenable 公司的研究人员发现的，CVE 编号和CVSS基础分如下：

用户如需更新至最新版本，则需要下载 WhatsUp Gold 24.0.1，在易受攻击的 WhatsUp Gold 服务器上运行并根据提示操作。Progress 公司并未就要求给出更多漏洞详情进行回应。

从8月30日开始，攻击者一直在利用 WhatsUp Gold SQL 注入漏洞CVE-2024-6670和CVE-2024-6671。研究员 Sina Kheirkhah 在5月22日通过ZDI 计划提交给 Progress 公司后，后者在8月16日将其修复。漏洞修复两周后，研究员发布的这两个漏洞的 PoC 利用代码，而趋势科技认为该利用代码已被用于绕认证并实现远程代码执行。

8月初，威胁监控组织 Shadowserver Foundation 也尝试利用在6月25日披露的 WhatsUp Gold 严重RCE漏洞CVE-2024-4885。Kheirkhah 也在两周后发布了该漏洞的完整细节。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~