CSIRT Toscana Vulnerabilità in OpenEdge (AL02/240229/CSIRT-ITA) – Aggiornamento
Data:
7 Marzo 2024 10:18
Data di creazione: 29/02/2024 16:04
Sintesi
Rilevata una vulnerabilità di sicurezza, con gravità “critica”, nei prodotti OpenEdge Authentication Gateway e AdminServer di Progress. Tale vulnerabilità, legata a una gestione errata di nome utente e password, potrebbe consentire a un utente malintenzionato di eludere i sistemi di autenticazione sui sistemi interessati.
Note (aggiornamento del 07/03/20204): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (73,07/100)1 (aggiornamento del 07/03/2024)
Tipologia
- Authentication Bypass
Prodotti e versioni affette
OpenEdge Authentication Gateway e AdminServer
- 11.7.x, versione 11.7.18 e precedenti
- 12.2.x, versione 12.2.13 e precedenti
- 12.8.x, versione 12.8.0
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://www.progress.com/openedge
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.