Progress Software已发布紧急补丁，修复其LoadMaster产品中一个严重程度为10/10的漏洞(CVE-2024-7591)，该漏洞允许执行远程命令。我们敦促用户立即更新，以防止潜在的攻击。

progress Software是一家领先的应用程序交付和管理软件解决方案提供商，最近该公司发布了针对影响其LoadMaster和LoadMaster多租户(MT)虚拟机管理程序产品的严重漏洞的紧急修复程序。

LoadMaster是Kemp Technologies开发的负载均衡器和应用程序交付控制器(ADC)系列。这些设备用于通过在多台服务器上分配网络流量来提高Web应用程序和服务的性能、可扩展性和可用性。Kemp Technologies于2021年9月被Progress Software收购。

该漏洞被标识为CVE-2024-7591，在通用漏洞评分系统(CVSS)上的严重性评级为10分（满分10分），因此被视为高度危险。此评级意味着该漏洞非常严重，未经身份验证的远程攻击者可以轻松利用该漏洞来控制受影响的系统。

该漏洞存在于LoadMaster产品的管理界面中，允许攻击者发送特制的HTTP请求，从而导致在设备上执行任意系统命令。这对依赖LoadMaster进行负载平衡和网络管理的组织构成了重大风险。

该漏洞影响除最新版本之外的所有版本的LoadMaster和LoadMaster多租户虚拟机管理程序。客户可以通过从Progress Software的支持门户下载附加包来获取必要的更新。附加包包含一个用于XML验证的文件，可以安装在任何LoadMaster版本上，即使是那些不再受支持的版本。

除了应用紧急修复之外，组织还应遵循安全强化指南，并将对管理界面的访问限制为受信任的IP地址。这将有助于最大限度地降低未经授权的访问和潜在利用的可能性。

目前，Progress Software尚未报告任何利用该漏洞的事件。不过，该公司敦促所有LoadMaster产品用户尽快升级系统，以减轻任何潜在威胁。

网络安全公司Sectigo的高级研究员Jason Soroko强调了解决这一漏洞的紧迫性。他指出，鉴于LoadMaster在企业环境中广泛用于平衡流量，忽视修补此漏洞可能会导致灾难性的后果。

索罗科还指出了MOVEit漏洞之后公司面临的最新挑战，并补充说，这一新问题可能会进一步使Progress Software面临安全风险。

“Progress Software的LoadMaster产品中的CVE-2024-7591漏洞非常严重，因为其CVSS评分为10/10，安全团队应立即应用紧急修复，将易受攻击的系统与不受信任的网络隔离，并将对管理界面的访问限制为仅限受信任的IP，” Soroko建议道。