SolarWinds 平台修复两个高危漏洞

其中较为严重的是CVE-2022-36963（CVSS评分8.8），是位于 SolarWinds 的基础设施监控和管理解决方案中的命令注入漏洞。该漏洞可被远程用于执行任意命令。成功利用该漏洞要求攻击者持有合法 SolarWinds 平台管理员账户的凭据。

第二个高危漏洞CVE-2022-47505（CVSS评分7.8）是本地提权漏洞，可导致拥有合法系统用户账户的本地攻击者提升权限。

这两个漏洞都是由趋势科技 ZDI 项目研究员报告的，且均已在 SolarWinds Platform 版本2023.2中修复。

该版本还修复了中危漏洞CVE-2022-47509，它是不正确的输入中和漏洞，可被远程用于附加 URL 参数以注入HTML代码。利用该漏洞要求具有合法账户。

SolarWinds 公司还修复了位于 Database Performance Analyzer 中的两个中危漏洞，一个可导致信息泄露，另一个可导致用户枚举至不同的服务器文件夹中。Database Performance Analyzer 版本2023.2同时修复了这两个漏洞。

SolarWinds 公司并未提到这些漏洞是否遭利用。该公司在安全公告页面提供了更多漏洞详情。

奇安信入选全球《软件成分分析全景图》代表厂商

SolarWinds 称将在2月底修复多个高危漏洞

SolarWinds 公司：Web Help Desk 实例正遭攻击

微软：攻击者利用SolarWinds Serv-U 0day发动 Log4j 攻击

SolarWinds 攻击者再次发动供应链攻击

SolarWinds 攻击者开发的新后门 FoggyWeb

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。