文章总结： ProgressSoftware修复了LoadMaster负载均衡器和MOVEitWAF中的两个高危命令注入漏洞CVE-2025-13444和CVE-2025-13447，CVSS评分均为8.4。这些漏洞通过UIAPI允许远程代码执行，虽暂无被利用证据，但建议管理员立即将设备升级至指定版本以防范风险，多租户环境需分步修补。 综合评分： 83 文章分类： 漏洞预警,漏洞分析,网络安全

命令注入警报：LoadMaster 和 MOVEit WAF 存在高危漏洞

sec随谈

sec随谈

2026年1月15日 08:56 北京

Progress Software Corporation 于 2026 年 1 月 12 日发布补丁，对其网络基础设施产品进行了一项重要更新，拉开了 2026 年安全计划的序幕。该补丁修复了两个高危命令注入漏洞，这些漏洞可能允许远程攻击者在LoadMaster负载均衡器和MOVEit Web 应用程序防火墙(WAF)上执行恶意代码。

这两个漏洞分别被追踪为 CVE-2025-13444 和 CVE-2025-13447，它们的 CVSS 评分均为 8.4，这表明对于依赖这些工具进行应用程序交付和安全的组织而言，存在重大风险。

受影响产品的用户界面 (UI) 和应用程序编程接口 (API) 存在漏洞。攻击者可以通过向特定端点发送精心构造的请求，注入任意系统命令。

• CVE-2025-13444：此漏洞针对 UI/API 中的 getcipherset 命令。
• CVE-2025-13447：此漏洞影响范围更广的管理命令，包括 addapikey、delapikey、delcert、dmidecode、listapikeys 和 ssodomain。

如果被利用，这些“UI/API 命令注入远程代码执行”漏洞可能会使攻击者完全控制设备。

Progress Software 已确认，截至发布之日，尚无证据表明这些漏洞已被实际利用。

“我们尚未收到任何关于这些漏洞已被利用的报告，也未发现对客户运营造成任何直接影响，”该公告指出。

然而，供应商明确建议：“尽管如此，所有易受攻击的系统都应该进行适当的修补，以避免这些漏洞被利用”。

此次安全更新涵盖了广泛的部署，包括标准 LoadMaster 设备、长期支持固件 (LTSF) 和多租户环境。

强烈建议管理员立即升级到以下版本：

• LoadMaster GA：升级到 7.2.62.2（修复 7.2.62.0 及更早版本的问题）。
• LoadMaster LTSF：升级到 7.2.54.16（修复 7.2.54.15 及更早版本的问题）。
• 多租户虚拟机管理程序：升级到 7.1.35.15（修复 7.1.35.11 及更早版本的问题）。
• MOVEit WAF：升级到 7.2.62.2（修复 7.2.62.1 的问题）。

对于运行多租户 LoadMaster (LoadMaster MT) 的组织，补丁流程需要分两步进行。该公告特别指出受影响组件之间的区别：“MT 管理程序或管理器节点（仅）易受 CVE-2025-13444 漏洞的影响，必须尽快使用上述更新进行修补”。

然而，环境中运行的各个虚拟网络功能 (VNF) 都容易受到 CVE 的影响，必须使用相应的 GA 或 LTSF 版本单独进行修补。

参考链接：

https://community.progress.com/s/article/LoadMaster-Vulnerabilities-CVE-2025-13444-CVE-2025-13447

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《命令注入警报：LoadMaster 和 MOVEit WAF 存在高危漏洞》