A Progress Software lançou outra rodada de atualizações para solucionar seis falhas de segurança no WhatsUp Gold, incluindo duas vulnerabilidades críticas.
Os problemas, disse a empresa, foram resolvidos na versão 24.0.1 lançada em 20 de setembro de 2024. A empresa ainda não divulgou detalhes sobre quais são os bugs, além de listar seus identificadores CVE –
- CVE-2024-46905 (pontuação CVSS: 8,8)
- CVE-2024-46906 (pontuação CVSS: 8,8)
- CVE-2024-46907 (pontuação CVSS: 8,8)
- CVE-2024-46908 (pontuação CVSS: 8,8)
- CVE-2024-46909 (pontuação CVSS: 9,8) e
- CVE-2024-8785 (pontuação CVSS: 9,8)
A pesquisadora de segurança Sina Kheirkhah, da Summoning Team, é responsável por encontrar e relatar as primeiras quatro falhas. Andy Niu, da Trend Micro, foi creditado com CVE-2024-46909, e Tenable foi creditado com CVE-2024-8785.
É importante notar que a Trend Micro informou recentemente que os agentes de ameaças estão aproveitando ao máximo as explorações de prova de conceito (PoC) de algumas das falhas de segurança recentemente divulgadas no WhatsUp Gold para conduzir ataques oportunistas.
Anteriormente, a Shadowserver Foundation disse ter visto tentativas de exploração contra CVE-2024-4885 (pontuação CVSS: 9,8), outro bug crítico no WhatsUp Gold que foi resolvido pela Progress em junho de 2024.
Recomenda-se que os clientes do WhatsUp Gold apliquem as correções mais recentes o mais rápido possível para mitigar ameaças potenciais.
