查看原文
其他

SolarWinds 称将在2月底修复多个高危漏洞

Ionut Arghire 代码卫士 2023-03-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



上周,SolarWinds 公司发布了多份关于高危漏洞的安全公告,称将在2月底推出SolarWinds 平台更新,修复这些漏洞。

在这七个安全漏洞中,其中五个是不可信数据反序列化漏洞,可用于实现命令执行后果且里面有四个漏洞的CVSS评分为8.8。这四个漏洞是CVE-2023-23836、CVE-2022-47503、CVE-2022-47504和CVE-2022-47507,可导致“堆SolarWinds Web 控制台具有Orion 管理员级别账户访问权限的远程攻击者执行任意命令。”SolarWinds 公司认为第五个漏洞CVE-2022-38111是一个中危漏洞,尽管利用后果是一样的。另外该漏洞的CVSS评分为7.2,因此其严重性评级为‘高“。

该公司还发布了与SolarWinds Platform 中高危路径遍历漏洞CVE-2022-47506(CVSS评分8.8)有关的补丁,“该漏洞可导致具有认证账户访问权限的本地攻击者编辑默认配置,从而执行任意命令“。

SolarWinds Platform 2023.1预计将在本月底面世,该版本将修复所有漏洞。建议客户尽快更新至该版本。

另外,SolarWinds 发布了关于Server & Application 2022.4(无法与NTLM使用的Kerberos)的高危漏洞。Hybrid Cloud Observability 2023.1 当前是发布候选状态,该版本修复了上述漏洞。

SolarWinds 公司并未提及这些漏洞是否遭利用,更多详情可参见该公司的产品安全页面。


代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读
奇安信入选全球《软件成分分析全景图》代表厂商SolarWinds 公司:Web Help Desk 实例正遭攻击
微软:攻击者利用SolarWinds Serv-U 0day发动 Log4j 攻击
SolarWinds 攻击者开发的新后门 FoggyWeb
微软发现已遭在野利用的 SolarWinds 新0day



原文链接

https://www.securityweek.com/solarwinds-announces-upcoming-patches-for-high-severity-vulnerabilities/


题图:Pixabay License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存