Se han descubierto vulnerabilidades de severidad alta en Progress MOVEit WAF. Un actor malicioso autenticado con privilegios administrativos podría ejecutar comandos del sistema operativo y comprometer totalmente el dispositivo.
Productos afectados
- Progress MOVEit WAF: versión 7.2.62.1
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-13444: con una puntuación de 8.4 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos del sistema operativo en el API de Progress LoadMaster (getcipherset). Un actor malicioso autenticado con permisos de administración de usuarios podría aprovechar la falta de saneamiento en los parámetros de entrada para ejecutar comandos arbitrarios en el dispositivo afectado.
CVE-2025-13447:con una puntuación de 8.4 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos del sistema operativo en el API de Progress LoadMaster (addapikey, delapikey, delcert, dmidecode, listapikeys, ssodomain). Un actor malicioso autenticado con permisos de administración de usuarios podría aprovechar la falta de saneamiento en los parámetros de entrada para ejecutar comandos arbitrarios en el dispositivo afectado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias