CVE-2026-3517: podatność w Connection Manager for ObjectScale umożliwiająca zdalne wykonanie kodu
Podatność OS Command Injection w Progress ADC Connection Manager for ObjectScale umożliwia zdalne wykonanie kodu przez administratorów Geo. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 8.4 HIGH
- EPSS
- 96.86%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- connection manager for objectscale
Co wiadomo
W produkcie Progress ADC Connection Manager for ObjectScale wykryto podatność OS Command Injection, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami „Geo Administration” na wykonanie dowolnych poleceń systemowych na urządzeniu LoadMaster poprzez niewystarczająco oczyszczone dane wejściowe w komendzie 'addcountry'.
Wpływ biznesowy
Podatność ta może prowadzić do przejęcia kontroli nad urządzeniem LoadMaster, co zagraża integralności i dostępności infrastruktury sieciowej. Atakujący z odpowiednimi uprawnieniami mogą wykonywać nieautoryzowane polecenia, co może skutkować poważnymi zakłóceniami w działaniu usług oraz wyciekiem danych.
Rekomendowane działania administratora
Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji lub łatek od producenta Progress dla Connection Manager for ObjectScale. W międzyczasie ogranicz dostęp do funkcji 'addcountry' tylko do zaufanych administratorów, monitoruj logi pod kątem podejrzanej aktywności oraz przeprowadź przegląd uprawnień użytkowników z dostępem do funkcji administracyjnych.