聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
在这七个安全漏洞中,其中五个是不可信数据反序列化漏洞,可用于实现命令执行后果且里面有四个漏洞的CVSS评分为8.8。这四个漏洞是CVE-2023-23836、CVE-2022-47503、CVE-2022-47504和CVE-2022-47507,可导致“堆SolarWinds Web 控制台具有Orion 管理员级别账户访问权限的远程攻击者执行任意命令。”SolarWinds 公司认为第五个漏洞CVE-2022-38111是一个中危漏洞,尽管利用后果是一样的。另外该漏洞的CVSS评分为7.2,因此其严重性评级为‘高“。
该公司还发布了与SolarWinds Platform 中高危路径遍历漏洞CVE-2022-47506(CVSS评分8.8)有关的补丁,“该漏洞可导致具有认证账户访问权限的本地攻击者编辑默认配置,从而执行任意命令“。
SolarWinds Platform 2023.1预计将在本月底面世,该版本将修复所有漏洞。建议客户尽快更新至该版本。
另外,SolarWinds 发布了关于Server & Application 2022.4(无法与NTLM使用的Kerberos)的高危漏洞。Hybrid Cloud Observability 2023.1 当前是发布候选状态,该版本修复了上述漏洞。
SolarWinds 公司并未提及这些漏洞是否遭利用,更多详情可参见该公司的产品安全页面。
https://www.securityweek.com/solarwinds-announces-upcoming-patches-for-high-severity-vulnerabilities/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~