ГлавнаяБаза уязвимостей БДУ → BDU:2024-05764
10критическая

BDU:2024-05764 (CVE-2024-4885)

Уязвимость метода GetFileWithoutZip системы мониторинга сетевой инфраструктуры WhatsUp Gold, позволяющая нарушителю выполнять произвольный код на сервере
Опубликовано: 2024-07-29
Описание

Уязвимость метода GetFileWithoutZip системы мониторинга сетевой инфраструктуры WhatsUp Gold связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольный код на сервере с помощью специально сформированных JSON-данных

Затрагиваемое ПО и версии
WhatsUp Gold (до 23.1.3)
Способ устранения

Использование рекомендаций производителя:
https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-June-2024

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-June-2024https://www.itsec.ru/news/cve-2024-4885-prevratila-instrument-whatsup-gold-v-oruzhiye-kiberprestupnikovhttps://www.securitylab.ru/news/549990.phphttps://summoning.team/blog/progress-whatsup-gold-rce-cve-2024-4885/https://www.zerodayinitiative.com/advisories/ZDI-24-893/https://github.com/sinsinology/CVE-2024-4885https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена