Hoppa yfir valmynd

Alvarlegur veikleiki í Progress Application Server fyrir OpenEdge (PASOE)

22. jan. 2024

Tilkynnt var um alvarlegan veikleika í WEB transport hjá Progress Application Server fyrir OpenEdge (PASOE). CISA hefur einnig gefið út tilskipun um að uppfæra Ivanti Connect Secure VPN vegna veikleikana CVE-2023-46805 og CVE-2024-21887. Sjá má frekari upplýsingar um veikleikana á vefsíðu CERT-IS [1]. VMware varar við misnotkun á veikleikanum CVE-2023-34048 sem hægt er lesa frekar um á vefsíðu CERT-IS [2].  CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.

WEB transport

Veikleikinn CVE-2023-40051 gerir ógnaraðila kleift að senda fyrirspurn í gegnum WEB transport sem leyfir upphal á skrá á möppuslóð þjónar (e. server directory path) á kerfinu sem keyrir PASOE. Misnotkun veikleikans getur leitt til frekari árás [3]

Eftirfarandi kerfi eru veik fyrir gallanum:

WEB transport: <11.7.18, <12.2.13 og <12.8.0


Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:

WEB transport: 11.7.18, 12.2.13 og 12.8.0


Tilvísanir:

[1] https://cert.is/frettir-og-tilkynningar/frettasafn/frett/Fr%C3%A9ttir/alvarlegir-veikleikar-i-atlassian-vmware-google-ivanti-citrix-og-sonicwall
[2] https://cert.is/frettir-og-tilkynningar/frettasafn/frett/Fr%C3%A9ttir/alvarlegur-veikleiki-i-vmware-vcenter-og-cloud-foundation
[3] https://community.progress.com/s/article/Important-Progress-OpenEdge-Critical-Alert-for-Progress-Application-Server-in-OpenEdge-PASOE-Arbitrary-File-Upload-Vulnerability-in-WEB-Transport