Podatność w Progress WhatsUp Gold umożliwia nieuwierzytelnionemu atakującemu zmianę ustawień LDAP bez jakiejkolwiek autoryzacji. Ze względu na sieciowy charakter ataku i brak wymagań wstępnych, stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury monitorującej.
▸ Pokaż oryginał (EN)
In WhatsUp Gold versions released before 2024.0.2, an unauthenticated attacker can configure LDAP settings.
Błąd wynika z braku mechanizmu uwierzytelniania (CWE-306) chroniącego endpoint odpowiedzialny za konfigurację LDAP. Atakujący, bez posiadania jakichkolwiek poświadczeń, może wysłać żądanie sieciowe bezpośrednio do aplikacji i nadpisać ustawienia integracji z katalogiem LDAP. Pozwala to na przekierowanie procesu uwierzytelniania użytkowników do kontrolowanego przez atakującego serwera LDAP.
Atakujący może przejąć kontrolę nad procesem uwierzytelniania użytkowników aplikacji, co w praktyce może prowadzić do przechwycenia poświadczeń lub uzyskania nieautoryzowanego dostępu do systemu monitorowania sieci WhatsUp Gold z wysokimi uprawnieniami.
Należy niezwłocznie zaktualizować Progress WhatsUp Gold do wersji 2024.0.2 lub nowszej. Dodatkowe informacje dostępne są w referencjach producenta pod adresem https://www.progress.com/network-monitoring
Progress WhatsUp Gold — wszystkie wersje wydane przed 2024.0.2
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:LProgress Whatsup Gold
APPProgress23.1.0 – 24.0.2 (bez)
Powiązane podatności
SQL Injection w Progress WhatsUp Gold — kradzież zaszyfrowanych haseł
Progress WhatsUp Gold – nieuwierzytelniony RCE przez path traversal
Progress WhatsUp Gold — nieautoryzowany dostęp do serwera przez publiczne API
Zdalne wykonanie kodu w Progress WhatsUp Gold (RCE bez uwierzytelnienia)
Progress WhatsUp Gold – nieautoryzowana modyfikacja rejestru Windows przez NmAPI.exe