SolarWinds 称将在2月底修复多个高危漏洞
编译:代码卫士
上周,SolarWinds 公司发布了多份关于高危漏洞的安全公告,称将在2月底推出SolarWinds 平台更新,修复这些漏洞。
在这七个安全漏洞中,其中五个是不可信数据反序列化漏洞,可用于实现命令执行后果且里面有四个漏洞的CVSS评分为8.8。这四个漏洞是CVE-2023-23836、CVE-2022-47503、CVE-2022-47504和CVE-2022-47507,可导致“堆SolarWinds Web 控制台具有Orion 管理员级别账户访问权限的远程攻击者执行任意命令。”SolarWinds 公司认为第五个漏洞CVE-2022-38111是一个中危漏洞,尽管利用后果是一样的。另外该漏洞的CVSS评分为7.2,因此其严重性评级为‘高“。
该公司还发布了与SolarWinds Platform 中高危路径遍历漏洞CVE-2022-47506(CVSS评分8.8)有关的补丁,“该漏洞可导致具有认证账户访问权限的本地攻击者编辑默认配置,从而执行任意命令“。
SolarWinds Platform 2023.1预计将在本月底面世,该版本将修复所有漏洞。建议客户尽快更新至该版本。
另外,SolarWinds 发布了关于Server & Application 2022.4(无法与NTLM使用的Kerberos)的高危漏洞。Hybrid Cloud Observability 2023.1 当前是发布候选状态,该版本修复了上述漏洞。
SolarWinds 公司并未提及这些漏洞是否遭利用,更多详情可参见该公司的产品安全页面。
微软:攻击者利用SolarWinds Serv-U 0day发动 Log4j 攻击
SolarWinds 攻击者开发的新后门 FoggyWeb
微软发现已遭在野利用的 SolarWinds 新0day
https://www.securityweek.com/solarwinds-announces-upcoming-patches-for-high-severity-vulnerabilities/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。