Se han descubierto vulnerabilidades de severidad alta en productos Progress Software. Un actor malicioso podría realizar la ejecución remota de código mediante la inyección de comandos en el sistema operativo subyacente de los dispositivos afectados.
Productos afectados
- LoadMaster: versión GA v7.2.62.2 y anteriores, versión LTSF v7.2.54.16 y anteriores.
- ECS Connection Manager: versión v7.2.62.2 y anteriores.
- Connection Manager para ObjectScale: versión v7.2.62.2 y anteriores.
- MOVEit WAF: versión GA v7.2.62.2 y anteriores.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-3517: con una puntuación de 8.4 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos del sistema operativo en la interfaz de programación de aplicaciones. Un actor malicioso autenticado con permisos de «Geo Administration» podría ejecutar comandos arbitrarios en el dispositivo LoadMaster mediante la explotación de entradas no saneadas en el comando ‘addcountry’.
CVE-2026-3518: con una puntuación de 8.4 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos del sistema operativo en la API. Un actor malicioso autenticado con permisos “All” podría ejecutar comandos arbitrarios en el sistema aprovechando una validación insuficiente de la entrada en el comando ‘killsession’, lo que facilita la ejecución remota de código.
CVE-2026-3519: con una puntuación de 8.4 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos del sistema operativo en la API. Un actor malicioso autenticado con permisos de «VS Administration» podría ejecutar comandos arbitrarios en el dispositivo afectado mediante el uso de parámetros manipulados en el comando ‘aclcontrol’.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias