Se ha descubierto una vulnerabilidad crítica en el Progress Software OpenEdge Authentication Gateway y AdminServer. La vulnerabilidad CVE-2024-1403 tiene una calificación máxima de gravedad de 10.0 en el sistema de puntuación CVSS y afecta a las versiones OpenEdge 11.7.18 y anteriores, 12.2.13 y anteriores, y 12.8.0.
La vulnerabilidad permite la circunvalación de las protecciones de autenticación y devuelve incorrectamente el éxito de la autenticación de un dominio local OpenEdge. Esto permite acceso no autorizado sin autenticación correcta. La vulnerabilidad ha sido solucionada en las versiones OpenEdge LTS Update 11.7.19, 12.2.14 y 12.8.1.
La compañía informó previamente en un aviso que la vulnerabilidad permite el acceso no autorizado a los intentos de conexión establecidos a través de OEAG y AdminServer empleando el proveedor de autenticación local del sistema operativo.
Horizon3.ai ha publicado una prueba de concepto que aprovecha la vulnerabilidad. El investigador de seguridad Zach Hanley ha declarado que existe una vía de ejecución de código remoto mediante la funcionalidad integrada si se invierte suficiente esfuerzo de investigación.
Es importante actualizar los sistemas operativos afectados. La solución ya está disponible en OpenEdge LTS Update 11.7.19, 12.2.14 y 12.8.1.
Vía The Hacker News
