Progress Software a publié une autre série de mises à jour pour corriger six failles de sécurité dans WhatsUp Gold, dont deux vulnérabilités critiques.
Les enjeux, l’entreprise ditont été résolus dans la version 24.0.1 publiée le 20 septembre 2024. La société n’a pas encore publié de détails sur les failles autres que la liste de leurs identifiants CVE –
- CVE-2024-46905 (score CVSS : 8,8)
- CVE-2024-46906 (score CVSS : 8,8)
- CVE-2024-46907 (score CVSS : 8,8)
- CVE-2024-46908 (score CVSS : 8,8)
- CVE-2024-46909 (score CVSS : 9,8), et
- CVE-2024-8785 (score CVSS : 9,8)
La chercheuse en sécurité Sina Kheirkhah de Summoning Team a été reconnue pour avoir découvert et signalé les quatre premières failles. Andy Niu de Trend Micro a été reconnu pour CVE-2024-46909, tandis que Tenable a été crédité pour CVE-2024-8785.
Il convient de noter que Trend Micro a récemment signalé que les acteurs malveillants exploitaient activement les exploits de preuve de concept (PoC) pour d’autres failles de sécurité récemment révélées dans WhatsUp Gold afin de mener des attaques opportunistes.
Auparavant, la Shadowserver Foundation avait déclaré avoir observé des tentatives d’exploitation contre CVE-2024-4885 (score CVSS : 9,8), un autre bug critique dans WhatsUp Gold qui a été résolu par Progress en juin 2024.
Il est recommandé aux clients WhatsUp Gold d’appliquer les derniers correctifs dès que possible pour atténuer les menaces potentielles.