Progress Software ha lanzado otra ronda de actualizaciones para corregir seis vulnerabilidades de seguridad en WhatsUp Gold, incluidas dos vulnerabilidades críticas.
Los retos, la empresa. dichose resolvieron en la versión 24.0.1 lanzada el 20 de septiembre de 2024. La compañía aún no ha publicado detalles sobre las fallas además de enumerar sus ID de CVE.
- CVE-2024-46905 (puntuación CVSS: 8,8)
- CVE-2024-46906 (puntuación CVSS: 8,8)
- CVE-2024-46907 (puntuación CVSS: 8,8)
- CVE-2024-46908 (puntuación CVSS: 8,8)
- CVE-2024-46909 (puntuación CVSS: 9,8), y
- CVE-2024-8785 (puntuación CVSS: 9,8)
A la investigadora de seguridad Sina Kheirkhah de Summoning Team se le atribuyó el descubrimiento y el informe de las primeras cuatro vulnerabilidades. A Andy Niu de Trend Micro se le atribuyó CVE-2024-46909, mientras que a Tenable se le atribuyó CVE-2024-8785.
Es de destacar que Trend Micro informó recientemente que actores maliciosos estaban explotando activamente exploits de prueba de concepto (PoC) para otras vulnerabilidades de seguridad reveladas recientemente en WhatsUp Gold para llevar a cabo ataques oportunistas.
Anteriormente, la Fundación Shadowserver dijo que observó intentos de explotación contra CVE-2024-4885 (puntuación CVSS: 9,8), otro error crítico en WhatsUp Gold que Progress solucionó en junio de 2024.
Se recomienda a los clientes de WhatsUp Gold que apliquen los parches más recientes lo antes posible para mitigar posibles amenazas.