SolarWinds, Access Rights Manager’da keşfedilen beş adet uzaktan kod yürütme (RCE) açığını kapattı. Bu zafiyetler kimlik doğrulaması gerektirmeden saldırılara izin veriyor.
CVE-2024-23476 ve CVE-2024-23479, path traversal zayıflıklarından kaynaklanırken, üçüncü kritik açık olan CVE-2023-40057 zafiyet ise deserialization of untrusted data’a yol açıyor. Bu üç zafiyet yamalanmamış olan sistemlerde saldırganlar RCE yapabiliyor.
SolarWinds, bu Perşembe günü yayınlanan Access Rights Manager 2023.2.3 sürümünde zafiyetleri kapattı.
| CVE-ID | Vulnerability Title | Severity |
|---|---|---|
| CVE-2023-40057 | SolarWinds ARM Deserialization of Untrusted Data Remote Code Execution | 9.0 Critical |
| CVE-2024-23476 | SolarWinds Access Rights Manager Directory Traversal Remote Code Execution | 9.6 Critical |
| CVE-2024-23477 | SolarWinds Access Rights Manager Directory Traversal Remote Code Execution | 7.9 High |
| CVE-2024-23478 | SolarWinds ARM Deserialization of Untrusted Data Remote Code Execution | 8.0 High |
| CVE-2024-23479 | SolarWinds Access Rights Manager Directory Traversal Remote Code Execution | 9.6 Critical |
