Progress Software 批评研究人员迅速公开漏洞演示

关键要点

Progress Software 对一名研究人员迅速转向社交媒体发布其 WSFTP 文件传输解决方案中的关键漏洞概念验证感到“失望”。9 月 29 日，一位名为 MCKSys Argentina 的用户在社交平台 X 上分享了其中一个漏洞的 PoC，利用的是被追踪为 CVE202340044 的 NET 反序列化漏洞。

Progress 已于 9 月 27 日披露 两个漏洞，并为多个 WSFTP 缺陷发布了补丁。该用户的 X 帖子随后引发了 Assetnote 发布的研究报告，详细介绍了其开发的 PoC。Assetnote 的帖子与其在 X 上发布的研究无关。

在其 CVE202340044 的 PoC 披露中，Assetnote 写道：“我们的协调披露政策规定，在向供应商报告后的 90 天内，我们会通过官网披露信息。”

有关漏洞实际被恶意利用的报告给 Progress 带来新的麻烦，因为该公司仍在处理来自其另一产品 MOVEit 的重大漏洞 的后果。

理顺复杂的时间线

Progress 在 9 月 27 日的公告中 表示，已为其 WSFTP 服务器的 Ad Hoc 转移模块和管理界面发布了八个漏洞的补丁，其中两个为关键漏洞。

其中一个关键漏洞是在 Ad Hoc 转移模块中存在的 NET 反序列化漏洞 (CVE202340044)，它的 CVSS 评分为最高的 10。另一个是在早于 874 和 882 的 WSFTP 服务器版本中的目录遍历漏洞 (CVE202342657)，评分为 99。

Progress 促请顾客应用其发布的补丁，但表示并未意识到这些漏洞正在被利用。

在一份声明中，Progress 的发言人提到不满并未指向 Assetnote，而是对于第三方如何快速发布 PoC 的速度表示失望。

“这为威胁行为者提供了利用这些漏洞的路线图，而很多我们的客户仍在应用补丁的过程中，”发言人表示。

“遗憾的是，在我们发布补丁后，第三方迅速构建并发布了 PoC，赋予了网络犯罪分子攻击我们客户的工具我们希望社区能够制止这种在软件供应商发布安全补丁后迅速发布 POC 的不负责任行为。”

Progress 认为，发布在 X 上的 PoC 是根据其漏洞披露和公司的补丁进行逆向工程而生成的。

Assetnote 则表示其独立开发的 PoC 是通过其对实际漏洞进行独立分析和发现而得出的。在 CVE 计划网站 上，由 MITRE 公司维护，Assetnote 的研究人员 Shubham Shah 和 Sean Yeoh 被归功于发现 CVE202340044。