SolarWinds ha publicado un conjunto de fallas de seguridad críticas que afectan su software Access Rights Manager (ARM), las cuales podrían ser explotadas para acceder a información sensible o ejecutar código arbitrario.
Productos afectados:
-SolarWinds Access Right Manager versiones anteriores a 2024.3
Impacto de las vulnerabilidades:
CVE-2024-23472 (CVSSv3 9.6): vulnerabilidad de severidad crítica de tipo Directory Traversal, podría permitir a un usuario autenticado leer y eliminar archivos de manera arbitraria en ARM.
CVE-2024-28074(CVSSv3 9.6): vulnerabilidad de severidad critica por deserialización interna, que podría permitir a un actor malicioso la ejecución remota de código.
CVE-2024-23469 (CVSSv3 9.6): vulnerabilidad de severidad critica de ejecución remota de código, que podría permitir a un usuario no autenticado realizar acciones con privilegios de SYSTEM.
CVE-2024-23475 (CVSSv3 9.6): vulnerabilidad de severidad critica de tipo Directory Traversal y divulgación de información, que podría permitir a un usuario no autenticado realizar eliminación arbitraria de archivos y filtrar información sensible.
CVE-2024-23467 (CVSSv3 9.6): vulnerabilidad de severidad critica de tipo Directory Traversal y divulgación de información, que podria permitir a un usuario no autenticado realizar ejecución remota de código.
CVE-2024-23466 (CVSSv3 9.6): vulnerabilidad de severidad critica de ejecución remota de código por Directory Traversal, que podría permitir a un usuario no autenticado realizar acciones con privilegios de SYSTEM.
CVE-2024-23470 (CVSSv3 9.6): vulnerabilidad de severidad critica de ejecución remota de código sin autenticación, que podria permitir a un usuario no autenticado ejecutar comandos y ejecutables.
CVE-2024-23471 (CVSSv3 9.6): vulnerabilidad de severidad critica de Ejecución Remota de Código, que podría permitir a un usuario autenticado abusar de un servicio de SolarWinds y resultaría en la ejecución remota de código.
Recomendación:
Actualizar a la ultima versión que resuelve las vulnerabilidades encontradas, disponible en la pagina web oficial del fabricante.
Referencia: