SolarWinds เผยแพร่อัปเดตการแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงหลายรายการใน Serv-U และ SolarWinds Platform รวมถึงช่องโหว่ที่ถูกรายงานจาก NATO Pentester
SolarWinds ออกแพตซ์อัปเดต SolarWinds Platform เวอร์ชัน 2024.2 ที่ได้แก้ไขช่องโหว่ใหม่ 3 รายการ และช่องโหว่จาก third-party components
ช่องโหว่แรกมีหมายเลข CVE-2024-28996 (คะแนน CVSS 7.5/10 ความรุนแรงระดับ High) ช่องโหว่ SWQL injection ซึ่งเป็น subset ที่เป็นสิทธิ์ read-only ของ SQL, SWQL ที่อนุญาตให้ผู้ใช้งาน query ฐานข้อมูล SolarWinds สำหรับข้อมูลเครือข่าย ซึ่งถูกรายงานโดย Pentester Nils Putnins ของ NATO Communications and Information Agency
ช่องโหว่อีก 2 รายการที่ส่งผลกระทบต่อ web console ได้แก่ CVE-2024-28999 (คะแนน CVSS 6.4/10 ความรุนแรงระดับ Medium) ช่องโหว่ race condition และ CVE-2024-29004 (คะแนน CVSS 7.1/10 ความรุนแรงระดับ High) ช่องโหว่ cross-site scripting (XSS) ที่จำเป็นต้องใช้สิทธิ์สูง และการโต้ตอบของผู้ใช้จึงจะทำให้สามารถโจมตีได้สำเร็จ โดยส่งผลกระทบต่อแพลตฟอร์ม SolarWinds 2024.1 SR 1 และเวอร์ชันก่อนหน้า
และช่องโหว่ที่พึ่งถูกเปิดเผยล่าสุด CVE-2024-28995 (คะแนน CVSS 8.6/10 ความรุนแรงระดับ High) ช่องโหว่ directory traversal ใน Serv-U ที่อาจทำ Hacker สามารถอ่านไฟล์ที่มีความสำคัญบนเครื่องโฮสต์ได้ โดยส่งผลต่อ Serv-U 15.4.2 hotfix 1 และเวอร์ชันก่อนหน้า รวมถึง Serv-U FTP Server, Serv-U Gateway และ Serv-U MFT Server.