该漏洞被归类为输入验证不当漏洞，可导致未认证的远程攻击者使用特殊构造的 HTTP 请求访问 LoadMaster的管理接口。然而，缺乏用户输入清理还可导致攻击者在易受攻击的端点上执行任意系统命令。

该安全公告提到，“未认证的远程攻击者如能访问LoadMaster的管理接口来发布特殊构造的HTTP请求，将导致执行任意系统命令。”该漏洞目前已修复。

LoadMaster 是一款由大型组织机构使用的应用交付控制器 (ADC) 和加载均衡解决方案，用于优化应用性能、管理网络流量并确保服务高可用性。LoadMaster MT Hypervisor是位多租户环境设计的 LoadMaster 版本，可允许在同样的硬件上运行多个虚拟网络功能。

CVE-2024-7591影响 LoadMaster 7.2.60.0及之前版本、MT Hypervisor 7.1.35.11及之前版本。Long-Term Support（LTS）和Long-Term Support with Feature (LTSF) 分支也受影响。

为修复该漏洞，Progress 发布可在任何易受攻击版本（包括老版本）上安装的附件程序包，因此目前尚不存在升级至的目标版本。不过，该补丁并不适用于 LoadMaster 免费版本。

Progress Software 公司表示，截止到公告发布之时，并未收到任何关于该漏洞遭活跃利用的报告。尽管如此，建议所有的 LoadMaster 用户采取恰当措施确保自己的环境不受影响，包括安装该附件包以及执行厂商推荐的安全加固措施。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~