上个月Progress发布资安公告，指出旗下的网管软件WhatsUp Gold存在漏洞CVE-2024-12105、CVE-2024-12106、CVE-2024-12108，呼吁用户升级至24.0.2版缓解相关弱点。

根据CVSS风险评分，这一波安全性修补当中，最值得留意的是列为重大层级的CVE-2024-12106、CVE-2024-12108，其中又以CVE-2024-12108较为危险，攻击者可利用公开API的存取WhatsUp Gold服务器，风险评分达到9.6（满分10分）。

另一个也相当危险的重大漏洞是CVE-2024-12106，因为攻击者可在未经身分验证的情况下，窜改LDAP的组态设定，CVSS风险为9.4。

至于CVE-2024-12105，该公司指出是资讯洩露弱点，通过身分验证的攻击者可利用特製的HTTP请求触发漏洞，风险评为6.5。

值得留意的是，Progress前一次9月修补的WhatsUp Gold漏洞也相当严重，其中一个重大层级漏洞CVE-2024-8785，通报此事的资安业者Tenable于12月公布概念性验证程序码（PoC）与相关细节。