Progress Software telah merilis pembaruan keamanan untuk kelemahan tingkat keparahan maksimum di LoadMaster dan hypervisor Multi-Tenant (MT) yang dapat mengakibatkan eksekusi perintah sistem operasi yang sembarangan.
Dilacak sebagai CVE-2024-7591 (skor CVSS: 10.0), kerentanan tersebut telah dijelaskan sebagai bug validasi input yang tidak tepat yang mengakibatkan injeksi perintah OS.
“Ada kemungkinan bagi penyerang jarak jauh yang tidak terotentikasi yang memiliki akses ke antarmuka manajemen LoadMaster untuk mengeluarkan permintaan http yang dibuat dengan cermat yang akan memungkinkan perintah sistem sembarangan untuk dieksekusi,” kata perusahaan itu dalam sebuah nasihat minggu lalu.
“Kerentanan ini telah ditutup dengan membersihkan permintaan masukan pengguna untuk mengurangi eksekusi perintah sistem yang sewenang-wenang.”
Cacat tersebut memengaruhi versi berikut –
- LoadMaster (7.2.60.0 dan semua versi sebelumnya)
- Hypervisor Multi-Tenant (7.1.35.11 dan semua versi sebelumnya)
Peneliti keamanan Florian Grunow dianggap sebagai penemu dan pelapor kelemahan tersebut. Progress mengatakan tidak menemukan bukti bahwa kerentanan tersebut dieksploitasi secara liar.
Oleh karena itu, disarankan agar pengguna menerapkan perbaikan terbaru sesegera mungkin dengan mengunduh paket tambahan. Pembaruan dapat diinstal dengan membuka Konfigurasi Sistem > Administrasi Sistem > Perbarui Perangkat Lunak.
“Kami menghimbau semua pelanggan untuk memperbarui implementasi LoadMaster mereka sesegera mungkin guna memperkuat lingkungan mereka,” kata perusahaan tersebut. “Kami juga sangat menyarankan agar pelanggan mengikuti panduan penguatan keamanan kami.”