Progress Softwareは月曜日、リモートコード実行(RCE)およびOSコマンドインジェクションにつながる可能性のあるMOVEit WAFおよびLoadMasterの複数の脆弱性のパッチをリリースしました。
この脆弱性のうち2つ(CVE-2026-3517およびCVE-2026-3519)はProgress ADCプロダクトのAPIに影響を及ぼし、「Geo Administration」および「VS Administration」権限を持つユーザーにより悪用される可能性があり、LoadMasterアプライアンス上での任意のコマンド実行につながる可能性があります。
これらの欠陥は、「addcountry」および「aclcontrol」コマンドがユーザー提供の入力を適切にサニタイズしないために存在します。
CVE-2026-3518として追跡されている別の問題は、ADCプロダクトのLoadMaster内のAPIに影響を及ぼし、「All」権限を持つ認証済みの攻撃者により悪用される可能性があります。これは「killsession」コマンドがサニタイズされていない入力を許可するために存在します。
4番目のセキュリティ欠陥であるCVE-2026-4048はProgress ADCプロダクトのUIに影響を及ぼします。「All」権限を持つ認証済みの攻撃者はカスタムWAFルールファイルにコードをインジェクトでき、ファイルアップロードプロセス中に入力が不適切にサニタイズされるため、コマンド実行につながります。
月曜日にProgressはまた、CVE-2026-21876(HTTPマルチパートリクエストヘッダーで使用される非標準文字セットにフラグを立てるためのルールセット内のファイアウォールポリシーバイパスの問題)の修正を発表しました。
欠陥のあるロジックにより、文字セット検証がアプリケーションがリクエスト内のすべてのヘッダーを反復処理する場合でも、最後のマルチパートコンテンツタイプヘッダーにのみ適用されるにつながります。
「この脆弱性により、特別に細工されたマルチパートリクエストがWAF検出をバイパスするエンコードされた悪意あるペイロードを含むことができます。」とProgress 説明しています。
これらの欠陥の悪用に成功すると、認証済みの攻撃者はLoadMasterおよびMOVEit WAFアプライアンス上で任意のコマンドおよびコードを実行できる可能性があります。
Progressはこれらのバグをパッチしました。MOVEit WAFバージョン7.2.63.0、LoadMaster GAバージョン7.2.63.1、LoadMaster LTSFバージョン7.2.54.17、ECS Connection Managerバージョン7.2.63.1、およびConnection Manager for ObjectScaleバージョン7.2.63.1で。
同社は、これらの脆弱性が悪用されたという報告を受けていないと述べていますが、顧客にできるだけ早くデプロイメントを更新するよう促しています。
翻訳元: https://www.securityweek.com/progress-patches-multiple-vulnerabilities-in-moveit-waf-loadmaster/
