Progress Software ha lanzado una nueva serie de actualizaciones para corregir seis vulnerabilidades de seguridad en WhatsUp Gold, incluidas dos fallas críticas.
Según la empresa, los problemas se han solucionado en la versión 24.0.1, lanzada el 20 de septiembre de 2024. Hasta el momento, no han proporcionado detalles específicos sobre las fallas, solo han mencionado los identificadores CVE:
- CVE-2024-46905 (puntuación CVSS: 8.8)
- CVE-2024-46906 (puntuación CVSS: 8.8)
- CVE-2024-46907 (puntuación CVSS: 8.8)
- CVE-2024-46908 (puntuación CVSS: 8.8)
- CVE-2024-46909 (puntuación CVSS: 9.8)
- CVE-2024-8785 (puntuación CVSS: 9.8)
El investigador de seguridad Sina Kheirkhah, del equipo Summoning, ha sido reconocido por descubrir y reportar los primeros cuatro fallos. Andy Niu, de Trend Micro, ha sido acreditado por la vulnerabilidad CVE-2024-46909, mientras que Tenable ha sido mencionado por identificar CVE-2024-8785.
Es importante señalar que Trend Micro informó recientemente que atacantes maliciosos están utilizando exploits de prueba de concepto (PoC) para otras vulnerabilidades recientes en WhatsUp Gold para realizar ataques oportunistas.
Anteriormente, la Fundación Shadowserver informó sobre intentos de explotación de la vulnerabilidad CVE-2024-4885 (puntuación CVSS: 9.8), otro error crítico en WhatsUp Gold que Progress solucionó en junio de 2024.
Se aconseja a los clientes de WhatsUp Gold aplicar las últimas actualizaciones cuanto antes para reducir el riesgo de amenazas.
