Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ネットワーク監視ツール「WhatsUp Gold」に深刻な脆弱性

Progress Softwareのネットワーク監視ソフトウェア「WhatsUp Gold」に複数の深刻な脆弱性が明らかとなった。2024年12月にリリースしたアップデートで修正済みとしている。

同社は現地時間2024年12月12日に公開したアドバイザリで、アップデートにより3件の脆弱性「CVE-2024-12108」「CVE-2024-12106」「CVE-2024-12105」に対処したことを明らかにしていたが、これら脆弱性の詳細が判明した。

「CVE-2024-12108」は、認証が必要となるが、公開された「API」経由でサーバを侵害できる脆弱性。一方「CVE-2024-12106」では、認証を必要とすることなく「LDAP」の設定を構成することが可能となる。

共通脆弱性評価システム「CVSSv3.1」において、ベーススコアをそれぞれ「9.6」「9.4」と評価。重要度をともに4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。

さらに、認証されたユーザーの細工した「HTTPリクエスト」によって情報が漏洩する「CVE-2024-12105」が判明した。CVSS基本値は「6.5」、重要度は「中(Medium)」。

同社では、現地時間12月9日にリリースした「WhatsUp Gold 24.0.2」でこれら脆弱性を解消したとしており、できるだけ早急にアップデートするよう呼びかけている。

(Security NEXT - 2025/01/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

「MS Edge」にアップデート - 独自含む脆弱性15件を修正
Oracle、まもなく四半期パッチを公開 - 脆弱性320件に対応予定
プロクシ製品「IBM SSP」に深刻な脆弱性 - アップデートで修正
「NVIDIA Container Toolkit」に複数脆弱性 - アップデートを公開
「Node.js」に複数脆弱性 - 1月21日にアップデート予定
HPE Arubaの「AOS」に複数の脆弱性 - アップデートを公開
「Sentry」のSSOに脆弱性 - なりすましのおそれ
Ivanti、3製品でアップデートを公開 - 脆弱性を解消
「Aviatrix Controller」の脆弱性悪用に注意喚起 - 米当局
Splunkが提供する「SOAR」や「AD」の連携ソフトに脆弱性