Kemp Technologies Flowmon: unautorisierte Codeausführung möglich
Kemp Technologies hat am 2.4.24 eine kritische Sicherheitslücke in den Versionen v11.x und v12.x seines Netzwerk Monitoring Systems Progress Flowmon bestätigt. Die Schwachstelle CVE-2024-2389, ermöglicht es nicht authentifizierten, Angreifern, remote auf die Web-Schnittstelle von Flowmon zuzugreifen. Sie können einen speziell gestalteten API-Befehl ausgeben, der die Ausführung willkürlicher Systembefehle ohne Authentifizierung erlaubt. Versionen vor 11.0 (10.x und niedriger) sind von dieser Schwachstelle nicht betroffen.
Die gepatchten Versionen sind Flowmon 12.3.5 und Flowmon 11.1.14. Es wird dringend angeraten, auf die aktuellste Version zu updaten.