CVE-2024-12108

WhatsUp Gold - Public API signing key rotation issue

CVSS 9.6 CRITICALEPSS 6.8%CWE-290

En resumen

WhatsUp Gold en versiones anteriores a 2024.0.2 tiene un fallo en la rotación de claves de firma para la API pública, permitiendo que atacantes accedan al servidor sin autorización. Es crítico porque elude las protecciones de autenticación.

Detalle técnico

La vulnerabilidad radica en el manejo inadecuado de la rotación de claves de firma de la API pública en WhatsUp Gold anterior a la versión 2024.0.2. Un atacante puede explotar esto para falsificar o eludir mecanismos de autenticación de la API, obteniendo acceso no autorizado al servidor. El vector de ataque es a través de la red mediante la interfaz de API pública.

Resumen generado y traducido por IA a partir de la descripción oficial.

In WhatsUp Gold versions released before 2024.0.2, an attacker can gain access to the WhatsUp Gold server via the public API.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N

Productos afectados

Progress Software Corporation · WhatsUp Gold

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.progress.com/network-monitoring