27.03.2021 | В SolarWinds Orion исправлены очередные уязвимости |
Производитель решений для управления IT-инфраструктурой предприятия SolarWinds в четверг, 25 марта, выпустил обновление безопасности, устраняющее четыре уязвимости в платформе Orion. Две исправленные уязвимости (идентификатор CVE им пока не присвоен) позволяют удаленно выполнить код. Наиболее опасная из них - уязвимость десериализации JSON. С ее помощью авторизованный пользователь может выполнить произвольный код через функцию тестовых уведомлений в web-консоли Orion, позволяющую симулировать сетевые события (например, отсутствие ответа сервера), которые могут вызывать соответствующие уведомления. Вторая уязвимость затрагивает планировщик заданий в Orion (Orion Job Scheduler). Однако для того, чтобы ее проэксплуатировать, злоумышленник должен сначала заполучить учетные данные непривилегированного локального пользователя Orion Server. Еще одной высокоопасной уязвимостью является CVE-2020-35856. Проблема затрагивает вкладку для добавления пользователей на странице настройки просмотра и позволяет осуществить межсайтовый скриптинг (XSS). Для ее эксплуатации требуются права администратора платформы Orion. Четвертая уязвимость (CVE-2021-3109) - обратный переход на вкладку и открытое перенаправление (Reverse Tabnabbing/Open Redirect) на странице настройки параметров меню. Проблема представляет среднюю опасность. Для ее эксплуатации требуются права администратора платформы Orion. Во избежание возможных атак с эксплуатацией вышеописанных уязвимостей пользователям настоятельно рекомендуется установить версию Orion Platform 2020.2.5. |
Проверить безопасность сайта