Kritiske sårbarheder i SolarWinds Arms

Solarwinds har frigivet fem patches, som adresserer sårbarheder ved hhv. ’remote code execution’, ’path treversal’ og inputvalidering i deres ARM løsning. Det fremgår af advisories fra SolarWind.

Tre af sårbarhederne er kritiske, dvs. med en CVSS-score på over 9. To af disse (CVE-2024-23476 og CVE-2024-23479) er sårbarheder, der gør det muligt for en angriber at narre en webapplikation til at læse og filer uden for applikationens eller webserverens dokumentrodmappe. Det er det, der i teknisk tale hedder path traversal. Den tredje kritiske fejl har id’et CVE-2023-40057 er forårsaget af deserialisering af ikke-pålidelige data.

Uautoriserede ondsindede aktører kan udnytte alle tre til at eksekvere kode på sårbare systemer.

De sidste to fejl (CVE-2024-23477 og CVE-2024-23478) kan også bruges i RCE-angreb og er blevet vurderet af SolarWinds som alvorlige sårbarheder, dvs. med en score på melllem 7 og 9.

De berørte produkter er SolarWinds Access Rights Manager (ARM) 2023.2.2 og tidligere versioner.

Der er ikke indrapporteret aktiv udnyttelse, men det anbefales at opdatere de berørte produkter i henhold til Solarwinds vejledninger.

Links:

https://www.solarwinds.com/trust-center/security-advisories