TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > 脆弱性: CVE-2024-2389 > Maximum severity Flowmon bug has a public exploit, patch now

Maximum severity Flowmon bug has a public exploit, patch now

脆弱性: CVE-2024-2389 ツール: Flowmon 脆弱性: OSコマンドインジェクション

【訳】

Flowmonの最大深刻度のバグに悪用される可能性がある


【図表】


エクスプロイトのデモ (Rhinoセキュリティ)
出典: https://www.bleepingcomputer.com/news/security/maximum-severity-flowmon-bug-has-a-public-exploit-patch-now/


【概要】

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v3
CWE
脆弱性
備考
2024/04/02 2024/03/11 CVE-2024-2389 NVD Progress
10.0(Progress)
 CWE-78 OSコマンドインジェクション


【要約】

Flowmonに存在する最大深刻度のセキュリティ脆弱性が公開され、悪用される可能性がある。この脆弱性は、Rhino Security Labsの研究者によって発見され、最大10/10の深刻度を持つとされている。攻撃者は、特殊なAPIリクエストを使用してFlowmonウェブインターフェースに未認証のリモートアクセスを取得し、任意のシステムコマンドを実行することができる。Progress Softwareは4月4日にこの問題を警告し、セキュリティアップデートをリリースした。攻撃者が既にこの脆弱性を悪用している可能性があり、早急なアップグレードが必要とされている。


【ニュース】

◆Maximum severity Flowmon bug has a public exploit, patch now (BleepingComputer, 2024/04/24 16:08)
[Flowmonの最大深刻度のバグに悪用される可能性がある]
https://www.bleepingcomputer.com/news/security/maximum-severity-flowmon-bug-has-a-public-exploit-patch-now/


【関連まとめ記事】

全体まとめ
 ◆ツール / コマンド の脆弱性 (まとめ)
  ◆Flowmon (まとめ)

◆CVE-2024-2389 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2024-2389

 ◆攻撃手法 (まとめ)

◆OSコマンドインジェクション (まとめ)
https://vul.hatenadiary.com/entry/OS_Command_Injection

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022