SolarWinds Web Help Desk多個安全漏洞
0x01漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02漏洞描述
Solarwinds Web Help Desk是Solarwinds公司的一套服務臺和資產管理軟件。該軟件支持集中式知識庫、IT資產管理、項目和任務管理等功能。
2021年12月24日,漏洞云團隊監測到 Solarwinds發布安全公告,修復了兩個個存在于 Web Help Desk 中的漏洞。其中,1個高危漏洞,1個中危漏洞,漏洞詳情如下:
1. SolarWinds Web Help Desk 硬編碼漏洞
SolarWinds Web Help Desk 硬編碼漏洞 漏洞編號 CVE-2021-35232 漏洞類型 硬編碼 漏洞等級 高危 公開狀態 未知 在野利用 未知 漏洞描述 SolarWinds Web Help Desk 中的硬編碼憑據。通過這些憑據,攻擊者可以被允許對數據庫執行任意 HSQL 查詢。 |
2. SolarWinds Web Help Desk 設計缺陷
SolarWinds Web Help Desk 設計缺陷 漏洞編號 CVE-2021-35243 漏洞類型 設計缺陷 漏洞等級 中危 公開狀態 未知 在野利用 未知 漏洞描述 Web Help Desk Web 服務器(版本 12.7.6 及更早版本)中啟用了 HTTP PUT 和 DELETE 方法,允許用戶執行危險的 HTTP 請求。HTTP PUT 方法通常用于使用用戶提供的 URL 上傳保存在服務器上的數據。DELETE 方法請求源服務器刪除目標資源與其當前功能之間的關聯。這些方法的不當使用可能會導致完整性的喪失。 |
0x03漏洞等級
高危
0x04影響版本
SolarWinds Web Help Desk <=12.7.6
0x05修復建議
廠商已經在12.7.7.8388版本修復上述漏洞,用戶請盡快升級到安全版本。
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
