SolarWinds, Access Rights Manager (ARM) yazılımında tespit edilen iki güvenlik açığını gidermek için güncelleme yayınladı.
En ciddi güvenlik açığı olan CVE-2024-28991, 10 üzerinden 9.0 CVSS puanına sahip. SolarWinds bu zafiyetin istismar edilmesi ile bir saldırganın yetkili kullanıcı kimliğini istismar ederek uzaktan kod yürütmesine olanak tanıyor.
Güvenlik açığı, JsonSerializationBinder adlı bir class içinde bulunuyor ve kullanıcı tarafından sağlanan verilerin yeterince doğrulanmamasından kaynaklanıyor. Bu durum, ARM cihazlarının RCE yapılmasına yol açıyor.
SolarWinds diğer bir güvenlik açığını da düzeltti. CVE-2024-28990 olarak takip edilen bu orta dereceli güvenlik açığı CVSS puanı 6.3 puan almış durumda. Başarıyla istismar edilmesi halinde RabbitMQ yönetim konsoluna erişme olanak tanıyor.
Her iki güvenlik açığı da ARM sürüm 2024.3.1‘de düzeltildi. Şu ana kadar bu güvenlik açıklarının aktif olarak istismar edildiğine dair herhangi bir kanıt bulunmamakla birlikte, kullanıcıların en kısa sürede güncelleme yaparak olası tehditlere karşı kendilerini korumaları öneriliyor.