A Progress Software program lançou outra rodada de atualizações para solucionar seis falhas de segurança no WhatsUp Gold, incluindo duas vulnerabilidades críticas.
Os problemas, disse a empresa, foram resolvidos na versão 24.0.1 lançada em 20 de setembro de 2024. A empresa ainda não divulgou quaisquer detalhes sobre quais são as falhas, além de listar seus identificadores CVE –
- CVE-2024-46905 (pontuação CVSS: 8,8)
- CVE-2024-46906 (pontuação CVSS: 8,8)
- CVE-2024-46907 (pontuação CVSS: 8,8)
- CVE-2024-46908 (pontuação CVSS: 8,8)
- CVE-2024-46909 (pontuação CVSS: 9,8) e
- CVE-2024-8785 (pontuação CVSS: 9,8)
A pesquisadora de segurança Sina Kheirkhah, da Summoning Crew, recebeu o crédito por descobrir e relatar as primeiras quatro falhas. Andy Niu, da Pattern Micro, foi reconhecido pelo CVE-2024-46909, enquanto a Tenable foi creditada pelo CVE-2024-8785.
É importante notar que a Pattern Micro relatou recentemente que os agentes de ameaças estão explorando ativamente explorações de prova de conceito (PoC) para outras falhas de segurança recentemente divulgadas no WhatsUp Gold para conduzir ataques oportunistas.
Anteriormente, a Shadowserver Basis disse ter observado tentativas de exploração contra CVE-2024-4885 (pontuação CVSS: 9,8), outro bug crítico no WhatsUp Gold que foi resolvido pela Progress em junho de 2024.
Recomenda-se que os clientes do WhatsUp Gold apliquem as correções mais recentes o mais rápido possível para mitigar possíveis ameaças.
