Progress Software 发布了针对严重漏洞的紧急修复程序，该漏洞被跟踪为 CVE-2024-7591，该漏洞会影响其 LoadMaster 和 LoadMaster 多租户 （MT） 管理程序产品。

该漏洞是一个不正确的输入验证问题，可能允许未经身份验证的远程攻击者使用特制的 HTTP 请求访问 LoadMaster 的管理界面。

“有权访问 LoadMaster 管理界面的未经身份验证的远程攻击者可能会发出精心设计的 http 请求，从而允许执行任意系统命令。”公告中写道。“通过清理请求用户输入来缓解任意系统命令的执行，此漏洞已得到解决。”

Progress LoadMaster 是一款高性能应用程序交付控制器 （ADC） 和负载均衡器。它旨在增强业务关键型应用程序和网站的可用性、可扩展性、性能和安全性。

此漏洞可能使攻击者能够在受影响的系统上执行任意命令。

以下是受影响的产品版本列表：

如果满足以下条件，则多租户 LoadMaster （LoadMaster MT） 会受到影响：

• 单个实例化的 LoadMaster VNF 容易受到攻击，必须尽快使用上面列出的附加组件进行修补。
• 请注意，MT 管理程序或 Manager 节点也容易受到攻击，必须尽快使用上面列出的附加组件进行修补。

正如用户在咨询评论中报告的那样，Progress 发布的插件包不允许在免费版本上安装。

好消息是，Progress 没有发现利用此漏洞的野外攻击。

“我们没有收到任何关于此漏洞已被利用的报告，我们不知道对客户有任何直接影响，”公告称。“尽管如此，我们鼓励所有客户尽快升级他们的 LoadMaster 实施，以强化他们的环境。”