CVE-2026-3517: podatność w Connection Manager for ObjectScale umożliwiająca zdalne wykonanie kodu

Podatność OS Command Injection w Progress ADC Connection Manager for ObjectScale umożliwia zdalne wykonanie kodu przez administratorów Geo. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-3517CVSS 8.4General

CVE-2026-3517: podatność w Connection Manager for ObjectScale umożliwiająca zdalne wykonanie kodu

Podatność OS Command Injection w Progress ADC Connection Manager for ObjectScale umożliwia zdalne wykonanie kodu przez administratorów Geo. Sprawdź zalecenia bezpieczeństwa.

CVSS
8.4 HIGH
EPSS
96.86%
Aktywnie wykorzystywana
brak w KEV
Produkt
connection manager for objectscale

Co wiadomo

W produkcie Progress ADC Connection Manager for ObjectScale wykryto podatność OS Command Injection, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami „Geo Administration” na wykonanie dowolnych poleceń systemowych na urządzeniu LoadMaster poprzez niewystarczająco oczyszczone dane wejściowe w komendzie 'addcountry'.

Wpływ biznesowy

Podatność ta może prowadzić do przejęcia kontroli nad urządzeniem LoadMaster, co zagraża integralności i dostępności infrastruktury sieciowej. Atakujący z odpowiednimi uprawnieniami mogą wykonywać nieautoryzowane polecenia, co może skutkować poważnymi zakłóceniami w działaniu usług oraz wyciekiem danych.

Rekomendowane działania administratora

Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji lub łatek od producenta Progress dla Connection Manager for ObjectScale. W międzyczasie ogranicz dostęp do funkcji 'addcountry' tylko do zaufanych administratorów, monitoruj logi pod kątem podejrzanej aktywności oraz przeprowadź przegląd uprawnień użytkowników z dostępem do funkcji administracyjnych.

Źródła