关于Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403)的安全预警
一、 基本情况
Progress OpenEdge是一个应用程序开发和部署平台套件。OpenEdge Authentication Gateway (OEAG) 身份验证网关可通过强化 OpenEdge 应用程序环境的安全性来确保可信身份管理。
二、 漏洞描述
Progress OpenEdge中修复了一个身份验证绕过漏洞(CVE-2024-1403,CVSSv3评分10.0),影响了OpenEdge平台的OEAG组件和AdminServer,目前该漏洞的细节及PoC已公开。
当OpenEdge Authentication Gateway配置了OpenEdge 域,该域使用操作系统本地身份验证提供程序在 OpenEdge 活动版本支持的操作平台上授予用户ID和密码登录权限时,身份验证例程中存在漏洞,可能绕过身份验证导致未授权访问。此外,当 OpenEdge Explorer (OEE) 和 OpenEdge Management (OEM) 建立 AdminServer连接时,它也会利用受支持平台上的操作系统本地身份验证提供程序来授予用户ID和密码登录权限,也可能受该漏洞影响导致未经授权的登录访问。
三、 影响范围
OpenEdge版本<= 11.7.18
OpenEdge版本<= 12.2.13
OpenEdge版本12.8.0
四、 修复建议
目前该漏洞已经修复,受影响用户可升级到OpenEdge LTS Update 11.7.19、12.2.14 和12.8.1。
下载链接:
https://www.progress.com/trial-openedge
五、 参考链接
https://community.progress.com/s/article/Important-Critical-Alert-for-OpenEdge-Authentication-Gateway-and-AdminServer
https://www.horizon3.ai/attack-research/cve-2024-1403-progress-openedge-authentication-bypass-deep-dive/