Vulnerabilidad en Progress (OEAG)

Existe una nueva vulnerabilidad crítica en Progress OpenEdge Authentication Gateway (OEAG) que puede dar lugar a un acceso no autorizado.

Análisis

CVE-2024-1403 

En OpenEdge Authentication Gateway y AdminServer en todas las plataformas soportadas por el producto OpenEdge, se ha identificado una vulnerabilidad de bypass de autenticación. La vulnerabilidad consiste en un bypass de la autenticación basada en un fallo a la hora de gestionar correctamente el nombre de usuario y la contraseña. Cierto contenido inesperado introducido en las credenciales puede conducir a un acceso no autorizado sin la autenticación adecuada.

Recursos afectados

OpenEdge versiones 11.7.18 y anteriores
OpenEdge versiones 12.2.13 y anteriores
OpenEdge versiones 12.8.0 y anteriores

Recomendaciones

Actualice a OpenEdge LTS Update 11.7.19
Actualice a OpenEdge LTS Actualización 12.2.14
Actualice a OpenEdge LTS Update 12.8.1

También hay una mitigación temporal disponible en el aviso del proveedor que explica los pasos para conseguir una mitigación de sustitución de la biblioteca, una mitigación de sustitución del dominio del proveedor de autenticación OEAG, una mitigación de AdminServer y una mitigación de cancelación y desactivación de AdminServer.

Referencias