Detalhes técnicos e um exploit de prova de conceito foram divulgados para uma falha de segurança crítica recentemente revelada no Progress Software OpenEdge Authentication Gateway e AdminServer, que pode ser potencialmente explorada para contornar proteções de autenticação.

Identificada como CVE-2024-1403, a vulnerabilidade recebeu a classificação máxima de gravidade de 10.0 no sistema de pontuação CVSS. Ela impacta as versões do OpenEdge 11.7.18 e anteriores, 12.2.13 e anteriores, e 12.8.0.

“A vulnerabilidade nas rotinas de autenticação pode levar a acessos não autorizados em tentativas de login quando o OpenEdge Authentication Gateway (OEAG) é configurado com um Domínio OpenEdge que usa o provedor de autenticação local do OS para conceder logins de usuário e senha em plataformas operacionais suportadas por lançamentos ativos do OpenEdge”, disse a empresa em um aviso divulgado no final do mês passado.

Uma análise mais profunda da superfície de ataque pode permitir que um usuário implante novas aplicações via referências remotas de arquivos WAR, mas a complexidade aumentou dramaticamente para alcançar essa superfície de ataque devido ao uso de corretores de mensagens de serviço internos e mensagens personalizada.