[TLP:CLEAR] SolarWinds opravuje několik zranitelností
SolarWinds opravuje několik zranitelností ve svých produktech, z toho jednu kritickou. Produkty a jejich opravy: SolarWinds Web Help Desk - 12.8.3 HF3 [1] SolarWinds Platform - 2024.4 [2][4] SolarWinds Serv-U - 15.5 [3][5] SolarWinds Kiwi CatTools - 3.12.4 [6]
Neautentizovanému vzdálenému útočníkovi je v produktu Web Help Desk umožněno vykonat vzdálené spuštění kódu [1].
Zranitelnost se nachází v produktu SolarWinds Web Help Desk ve verzích <=12.8.3HF2.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-28988 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-502: Deserialization of Untrusted Data at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 10. 2024.
Autentizovanému lokálnímu útočníkovi je v produktu Platform umožněno zvýšit svá oprávnění [2].
Zranitelnost se nachází v produktu SolarWinds Platform ve verzích <=2024.2.1.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-45710 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-427: Uncontrolled Search Path Element at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 10. 2024.
Autentizovanému vzdálenému útočníkovi je v produktu Serv-U umožněno vykonat vzdálené spuštění kódu [3].
Zranitelnost se nachází v produktu SolarWinds Serv-U ve verzích <=15.4.2.
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-45711 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 16. 10. 2024.
Autentizovanému útočníkovi v lokální síti je umožněno v produktu Platform vykonat XSS útok [4].
Zranitelnost se nachází v produktu SolarWinds Platform ve verzích <=2024.2.1.
CVSS: CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:L
Více informací:
- CVE-2024-45715 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 10. 2024.
Autentizovanému útočníkovi v lokální síti je v produktu Serv-U umožněno změnit proměnnou s payloadem [5].
Zranitelnost se nachází v produktu SolarWinds Serv-U ve verzích <=15.4.2.3.
CVSS: CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:L
Více informací:
- CVE-2024-45714 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 16. 10. 2024.
Autentizovanému lokálnímu útočníkovi je v produktu Kiwi CatTools umožněno získat citlivé informace, pokud bylo povoleno jiné než výchozí nastavení pro účely řešení problémů [6].
Zranitelnost se nachází v produktu SolarWinds Kiwi CatTools ve verzích <=3.12.
CVSS: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:L/A:L
Více informací:
- CVE-2024-45713 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-209: Generation of Error Message Containing Sensitive Information at cwe.mitre.org
Zranitelnost byla veřejně oznámena 16. 10. 2024.
Odkazy
- [1] https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28988
- [2] https://www.solarwinds.com/trust-center/security-advisories/cve-2024-45710
- [3] https://www.solarwinds.com/trust-center/security-advisories/cve-2024-45711
- [4] https://www.solarwinds.com/trust-center/security-advisories/cve-2024-45715
- [5] https://www.solarwinds.com/trust-center/security-advisories/cve-2024-45714
- [6] https://www.solarwinds.com/trust-center/security-advisories/cve-2024-45713
Publikovala Michaela Jarošová dne 30. 10. 2024.
