SolarWinds 平台修复两个高危漏洞

发布于 作者:

SolarWinds 平台修复两个高危漏洞

Ionut Arghire 代码卫士 2023-04-25 17:45

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

SolarWinds 平台修复了两个高危漏洞,它们可分别导致命令执行和权限提升后果。

其中较为严重的是CVE-2022-36963(CVSS评分8.8),是位于 SolarWinds 的基础设施监控和管理解决方案中的命令注入漏洞。该漏洞可被远程用于执行任意命令。成功利用该漏洞要求攻击者持有合法 SolarWinds 平台管理员账户的凭据。

第二个高危漏洞CVE-2022-47505(CVSS评分7.8)是本地提权漏洞,可导致拥有合法系统用户账户的本地攻击者提升权限。

这两个漏洞都是由趋势科技 ZDI 项目研究员报告的,且均已在 SolarWinds Platform 版本2023.2中修复。

该版本还修复了中危漏洞CVE-2022-47509,它是不正确的输入中和漏洞,可被远程用于附加 URL 参数以注入HTML代码。利用该漏洞要求具有合法账户。

SolarWinds 公司还修复了位于 Database Performance Analyzer 中的两个中危漏洞,一个可导致信息泄露,另一个可导致用户枚举至不同的服务器文件夹中。Database Performance Analyzer 版本2023.2同时修复了这两个漏洞。

SolarWinds 公司并未提到这些漏洞是否遭利用。该公司在安全公告页面提供了更多漏洞详情。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读


奇安信入选全球《软件成分分析全景图》代表厂商

SolarWinds 称将在2月底修复多个高危漏洞

SolarWinds 公司:Web Help Desk 实例正遭攻击

微软:攻击者利用SolarWinds Serv-U 0day发动 Log4j 攻击

SolarWinds 攻击者再次发动供应链攻击

SolarWinds 攻击者开发的新后门 FoggyWeb

原文链接

https://www.securityweek.com/solarwinds-platform-update-patches-high-severity-vulnerabilities/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~