ネットワーク監視ツール「WhatsUp Gold」に深刻な脆弱性
Progress Softwareのネットワーク監視ソフトウェア「WhatsUp Gold」に複数の深刻な脆弱性が明らかとなった。2024年12月にリリースしたアップデートで修正済みとしている。
同社は現地時間2024年12月12日に公開したアドバイザリで、アップデートにより3件の脆弱性「CVE-2024-12108」「CVE-2024-12106」「CVE-2024-12105」に対処したことを明らかにしていたが、これら脆弱性の詳細が判明した。
「CVE-2024-12108」は、認証が必要となるが、公開された「API」経由でサーバを侵害できる脆弱性。一方「CVE-2024-12106」では、認証を必要とすることなく「LDAP」の設定を構成することが可能となる。
共通脆弱性評価システム「CVSSv3.1」において、ベーススコアをそれぞれ「9.6」「9.4」と評価。重要度をともに4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
さらに、認証されたユーザーの細工した「HTTPリクエスト」によって情報が漏洩する「CVE-2024-12105」が判明した。CVSS基本値は「6.5」、重要度は「中(Medium)」。
同社では、現地時間12月9日にリリースした「WhatsUp Gold 24.0.2」でこれら脆弱性を解消したとしており、できるだけ早急にアップデートするよう呼びかけている。
(Security NEXT - 2025/01/06 )
ツイート
PR
関連記事
ファイル転送ソフト「MOVEit Transfer」にDoS脆弱性 - 修正版公開
「VMware Tools」「Aria Operations」既知脆弱性、悪用事例の報告
米当局、「XWiki Platform」「Aria Operations」脆弱性を悪用リストに追加
組織の「ネット玄関口」狙う攻撃に注意 - 可視化や脆弱性対策の徹底を
米当局、「WSUS」脆弱性で対象サーバの特定や侵害監視を呼びかけ
「VMware Aria Operations」や「VMware Tools」に脆弱性 - 修正版を公開
サンプルコードなどの既知シークレット流用、サイト侵害の原因に
「Kea DHCP」にサービス拒否の脆弱性 - アップデートが公開
「WordPress」のキャッシュプラグインにXSS脆弱性
プラネックス製モバイルルータ「ちびファイ4」に脆弱性
