Sintesi

Disponibili aggiornamenti di sicurezza che risolvono 3 vulnerabilità con gravità “alta” in Progress OpenEdge, nota piattaforma di sviluppo per applicazioni aziendali. Tali vulnerabilità, qualora sfruttate, potrebbero permettere a un utente malintenzionato il bypass dei meccanismi di autenticazione e di eseguire codice arbitrario sui dispositivi target.

Tipologia

• Authentication Bypass
• Arbitrary Code Execution
• Security Feature Bypass
• Spoofing

Prodotti e versioni affette

OpenEdge LTS

• 11.7.x, versione 11.7.19 e precedenti
• 12.2.x, versione 12.2.14 e precedenti
• 12.8.x, versione 12.8.2 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-7654

CVE-2024-7345  

CVE-2024-7346  

Riferimenti

https://community.progress.com/s/article/Unauthenticated-Content-Injection-in-OpenEdge-Management-web-interface-via-ActiveMQ-discovery-service

https://community.progress.com/s/article/Client-connections-using-default-TLS-certificates-from-OpenEdge-may-bypass-TLS-host-name-validation

https://community.progress.com/s/article/Direct-local-client-connections-to-MS-Agents-can-bypass-authentication

https://www.progress.com/openedge 

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.