【缝隙公告】Progress Software WhatsUp Gold SQL注入缝隙(CVE-2024-6670)

颁布功夫 2024-09-03


一、、、缝隙概述

缝隙名称

Progress Software WhatsUp Gold SQL注入缝隙

CVE   ID

CVE-2024-6670

缝隙类型

SQL注入

发现功夫

2024-08-22

缝隙评分

9.8

缝隙等级

严重

攻击向量

网络

所需权限

利用难度

用户交互

PoC/EXP

已公开

在野利用

未发现

 

WhatsUp Gold是美国Progress Software公司开发的一款网络监控软件,,可监控整个网络基础设施,,迅速定位并解决网络中的问题,,提高网络治理员的工作效能。。

2024年9月2日,,OG东方厅集团VSRC监测到Progress Software WhatsUp Gold SQL注入缝隙(CVE-2024-6670)的技术细节及PoC在互联网上公开,,该缝隙的CVSS评分为9.8。。

Progress Software WhatsUp Gold 2024.0.0之前版本在HasErrors 步骤的实现中存在SQL注入缝隙,,由于在使用用户提供的字符串构建SQL查问前不足适当验证,,可能导致SQL注入和身份验证绕过,,未经身份验证的攻击者可利用该缝隙检索/重置用户密码(如治理员账户),,从而实现未授权接见并可能导致远程代码执行。。

 

二、、、影响领域

Progress Software WhatsUp Gold < 2024.0.0

 

三、、、安全措施

3.1 升级版本

目前该缝隙已经修复,,受影响用户可升级到Progress Software WhatsUp Gold 2024.0.0或更高版本。。

下载链接::

https://www.progress.com/network-monitoring

3.2 一时措施

暂无。。

3.3 通用建议

l  定期更新系统补丁,,削减系统缝隙,,提升服务器的安全性。。

l  加强系统和网络的接见节制,,批改防火墙战术,,关闭非必要的利用端口或服务,,削减将危险服务(如SSH、、、RDP等)露出到公网,,削减攻击面。。

l  使用企业级安全产品,,提升企业的网络安全机能。。

l  加强系统用户和权限治理,,启用多成分认证机制和最小权限准则,,用户和软件权限应维持在最低限度。。

l  启用强密码战术并设置为定期批改。。

3.4 参考链接

https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-August-2024

https://nvd.nist.gov/vuln/detail/CVE-2024-6670

 

四、、、版本信息

版本

日期

备注

V1.0

2024-09-03

初次颁布


五、、、附录

5.1 OG东方厅简介

OG东方厅成立于1996年,,是由留美博士严望佳女士创建的、、、占有齐全自主知识产权的信息安全高科技企业。。是国内最具实力的信息安全产品、、、安全服务解决规划的领航企业之一。。

公司总部位于北京市中关村软件园OG东方厅大厦,,公司员工6000余人,,研发团队1200余人, 技术服务团队1300余人。。在全国各省、、、市、、、自治区设立分支机构六十多个,,占有覆盖全国的销售系统、、、渠道系统和技术支持系统。。公司于2010年6月23日在丽江中小板挂牌上市。。(股票代码::002439)

多年来,,OG东方厅致力于提供拥有国际竞争力的自主创新的安全产品和最佳实际服务,,援手客户全面提升其IT基础设施的安全性和出产效力,,为打造和提升国际化的民族信息安全产业领军品牌而不懈致力。。

5.2 关于OG东方厅

OG东方厅安全应急响应中心已颁布1000多个缝隙公告微风险预警,,我们将持续跟踪全球最新的网络安全事务和缝隙,,为企业的信息安全保驾护航。。

关注我们::

image.png