SolarWinds ha publicado una actualización de seguridad para mitigar una vulnerabilidad de directory transversal que afecta a la solución de Serv U.
Productos afectados:
-SolarWinds Serv-U, versiones 15.4.2 HF 1 y anteriores
Impacto de la vulnerabilidad:
CVE-2024-28995 (CVSSv3 8.6): vulnerabilidad de severidad alta de tipo directory transversal que podría permitir a un actor malicioso, el acceso para leer archivos confidenciales en la máquina host.
La vulnerabilidad tiene prueba de concepto (PoC) disponible.
Recomendación:
Se recomienda actualizar a la última versión disponible del producto afectado desde la página oficial del fabricante.
Referencia:
-https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28995
-https://www.helpnetsecurity.com/2024/06/07/cve-2024-28995/
-https://www.rapid7.com/blog/post/2024/06/11/etr-cve-2024-28995-trivially-exploitable-information-disclosure-vulnerability-in-solarwinds-serv-u/
-https://nvd.nist.gov/vuln/detail/CVE-2024-28995