Tilkynnt var um alvarlegan veikleika í WEB transport hjá Progress Application Server fyrir OpenEdge (PASOE). CISA hefur einnig gefið út tilskipun um að uppfæra Ivanti Connect Secure VPN vegna veikleikana CVE-2023-46805 og CVE-2024-21887. Sjá má frekari upplýsingar um veikleikana á vefsíðu CERT-IS [1]. VMware varar við misnotkun á veikleikanum CVE-2023-34048 sem hægt er lesa frekar um á vefsíðu CERT-IS [2]. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
WEB transport
Veikleikinn CVE-2023-40051 gerir ógnaraðila kleift að senda fyrirspurn í gegnum WEB transport sem leyfir upphal á skrá á möppuslóð þjónar (e. server directory path) á kerfinu sem keyrir PASOE. Misnotkun veikleikans getur leitt til frekari árás [3]
Eftirfarandi kerfi eru veik fyrir gallanum:
WEB transport: <11.7.18, <12.2.13 og <12.8.0
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
WEB transport: 11.7.18, 12.2.13 og 12.8.0
Tilvísanir:
[1] https://cert.is/frettir-og-tilkynningar/frettasafn/frett/Fr%C3%A9ttir/alvarlegir-veikleikar-i-atlassian-vmware-google-ivanti-citrix-og-sonicwall
[2] https://cert.is/frettir-og-tilkynningar/frettasafn/frett/Fr%C3%A9ttir/alvarlegur-veikleiki-i-vmware-vcenter-og-cloud-foundation
[3] https://community.progress.com/s/article/Important-Progress-OpenEdge-Critical-Alert-for-Progress-Application-Server-in-OpenEdge-PASOE-Arbitrary-File-Upload-Vulnerability-in-WEB-Transport
