更新時間:2024/09/03 16:27:26
發佈時間:2024/09/03 16:27:26
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]。
資安研究人員發現Progress WhatsUp Gold中存在一個SQL injection漏洞(CVE-2024-6670)。該漏洞允許未經身份驗證的攻擊者利用系統對於SQL語法驗證不足的缺陷,將已經過系統內部函式加密轉換後的文字,透過SQL injection取代掉管理者的密碼,進而以管理者身份登入系統進行後續攻擊。
二、已揭露攻擊程式碼說明
1.Github已有POC程式碼[2]。
▶ 參考資訊
⌵
| 網址 | 說明 |
|---|---|
| https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-August-2024 | 1.Progress |
| https://github.com/sinsinology/CVE-2024-6670 | 2.GitHub |
▶ 影響平台
⌵
影響平台-系統:
低於 2024.0.0(不含)版本皆受到影響。
▶ 建議措施
⌵
1. 官方已於2024.0.0修復相關漏洞並釋出更新,建議會員依單位內既有漏洞管理機制進行評估後執行應處措施。
▶ 漏洞資訊
⌵
名稱:
CVE-2024-6670
描述:
使用版本:CVSS 3.1
分析分數:9.8
參考來源: Progress
情資編號:
FISAC-200-202409-0001
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞