Progress Software ha lanzado otra ronda de actualizaciones para abordar seis fallas de seguridad en WhatsUp Gold, incluidas dos vulnerabilidades críticas.
Los problemas, la empresa. dichose resolvieron en la versión 24.0.1 lanzada el 20 de septiembre de 2024. La compañía aún no ha publicado ningún detalle sobre cuáles son las fallas además de enumerar sus identificadores CVE.
- CVE-2024-46905 (puntuación CVSS: 8,8)
- CVE-2024-46906 (puntuación CVSS: 8,8)
- CVE-2024-46907 (puntuación CVSS: 8,8)
- CVE-2024-46908 (puntuación CVSS: 8,8)
- CVE-2024-46909 (puntuación CVSS: 9,8), y
- CVE-2024-8785 (puntuación CVSS: 9,8)
A la investigadora de seguridad Sina Kheirkhah de Summoning Team se le atribuye el mérito de descubrir e informar las primeras cuatro fallas. Andy Niu de Trend Micro recibió el reconocimiento por CVE-2024-46909, mientras que Tenable recibió el crédito por CVE-2024-8785.
Vale la pena señalar que Trend Micro informó recientemente que los actores de amenazas están explotando activamente exploits de prueba de concepto (PoC) para otras fallas de seguridad reveladas recientemente en WhatsUp Gold para realizar ataques oportunistas.
Anteriormente, la Fundación Shadowserver dijo que había observado intentos de explotación contra CVE-2024-4885 (puntuación CVSS: 9,8), otro error crítico en WhatsUp Gold que Progress resolvió en junio de 2024.
Se recomienda a los clientes de WhatsUp Gold que apliquen las últimas correcciones lo antes posible para mitigar posibles amenazas.