ネットワーク監視ツール「WhatsUp Gold」に深刻な脆弱性
Progress Softwareのネットワーク監視ソフトウェア「WhatsUp Gold」に複数の深刻な脆弱性が明らかとなった。2024年12月にリリースしたアップデートで修正済みとしている。
同社は現地時間2024年12月12日に公開したアドバイザリで、アップデートにより3件の脆弱性「CVE-2024-12108」「CVE-2024-12106」「CVE-2024-12105」に対処したことを明らかにしていたが、これら脆弱性の詳細が判明した。
「CVE-2024-12108」は、認証が必要となるが、公開された「API」経由でサーバを侵害できる脆弱性。一方「CVE-2024-12106」では、認証を必要とすることなく「LDAP」の設定を構成することが可能となる。
共通脆弱性評価システム「CVSSv3.1」において、ベーススコアをそれぞれ「9.6」「9.4」と評価。重要度をともに4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
さらに、認証されたユーザーの細工した「HTTPリクエスト」によって情報が漏洩する「CVE-2024-12105」が判明した。CVSS基本値は「6.5」、重要度は「中(Medium)」。
同社では、現地時間12月9日にリリースした「WhatsUp Gold 24.0.2」でこれら脆弱性を解消したとしており、できるだけ早急にアップデートするよう呼びかけている。
(Security NEXT - 2025/01/06 )
ツイート
PR
関連記事
「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも
悪用リストに脆弱性4件登録 - サポートツールやPBXなど3製品
Synology製NASに脆弱性 - 3rdパーティ製ツールに起因、KEV登録済み
APIクライアント生成ツール「Orval」にRCE脆弱性 - 再発で2度の修正
ウェブサーバ「NGINX」のTLSプロキシ利用時に応答改ざんのおそれ
「Movable Type」にXSSや数式インジェクションなど複数の脆弱性
Kubernetes向け「Rancher Local Path Provisioner」に深刻な脆弱性
IBMの暗号基盤「CCA」に脆弱性 - 任意コマンド実行のおそれ
「ServiceNow」に深刻な脆弱性 - 2025年10月更新で修正済み
脆弱性管理ツール「Rapid7 InsightVM」に脆弱性 - 認証回避のおそれ
