Existe una nueva vulnerabilidad crítica en Progress OpenEdge Authentication Gateway (OEAG) que puede dar lugar a un acceso no autorizado.
Análisis
CVE-2024-1403
En OpenEdge Authentication Gateway y AdminServer en todas las plataformas soportadas por el producto OpenEdge, se ha identificado una vulnerabilidad de bypass de autenticación. La vulnerabilidad consiste en un bypass de la autenticación basada en un fallo a la hora de gestionar correctamente el nombre de usuario y la contraseña. Cierto contenido inesperado introducido en las credenciales puede conducir a un acceso no autorizado sin la autenticación adecuada.
Recursos afectados
OpenEdge versiones 11.7.18 y anteriores
OpenEdge versiones 12.2.13 y anteriores
OpenEdge versiones 12.8.0 y anteriores
Recomendaciones
Actualice a OpenEdge LTS Update 11.7.19
Actualice a OpenEdge LTS Actualización 12.2.14
Actualice a OpenEdge LTS Update 12.8.1
También hay una mitigación temporal disponible en el aviso del proveedor que explica los pasos para conseguir una mitigación de sustitución de la biblioteca, una mitigación de sustitución del dominio del proveedor de autenticación OEAG, una mitigación de AdminServer y una mitigación de cancelación y desactivación de AdminServer.
Referencias