Progress Software a publié des mises à jour de sécurité pour une faille de gravité maximale dans l’hyperviseur LoadMaster et Multi-Tenant (MT) qui pourrait entraîner l’exécution de commandes arbitraires du système d’exploitation.
Suivi comme CVE-2024-7591 (Score CVSS : 10,0), la vulnérabilité a été décrite comme un bug de validation d’entrée incorrect qui entraîne une injection de commande dans le système d’exploitation.
« Il est possible pour des attaquants distants non authentifiés qui ont accès à l’interface de gestion de LoadMaster d’émettre une requête http soigneusement conçue qui permettra l’exécution de commandes système arbitraires », a déclaré la société. dit dans un avis publié la semaine dernière.
« Cette vulnérabilité a été fermée en nettoyant les requêtes saisies par l’utilisateur afin d’atténuer l’exécution de commandes système arbitraires. »
La faille affecte les versions suivantes –
- LoadMaster (7.2.60.0 et toutes les versions antérieures)
- Hyperviseur multilocataire (7.1.35.11 et toutes les versions antérieures)
C’est le chercheur en sécurité Florian Grunow qui a découvert et signalé la faille. Progress a déclaré n’avoir trouvé aucune preuve d’une exploitation de cette vulnérabilité dans la nature.
Cela dit, il est recommandé aux utilisateurs d’appliquer les derniers correctifs dès que possible en téléchargeant un module complémentaire. La mise à jour peut être installée en accédant à Configuration système > Administration système > Mettre à jour le logiciel.
« Nous encourageons tous les clients à mettre à niveau leurs implémentations LoadMaster dès que possible pour renforcer leur environnement », a déclaré la société. « Nous recommandons également vivement aux clients de suivre nos directives de renforcement de la sécurité” . “