核心内容摘要
撸撸社区:不止于“撸”,更是生活的“撸”精彩
聚焦源代码安全网罗国内外最新资讯编译代码卫士SolarWinds公司已发布安全更新修复影响SolarWinds Web Help Desk的多个漏洞其中包括四个可导致认证绕过和远程代码执行的严重漏洞。
这些漏洞CVE-
(CVSS评分
8.
——安全控制绕过漏洞可导致未经身份验证的攻击者访问某些受限功能。
CVE-
(CVSS评分
7.
——硬编码凭据漏洞可导致攻击者使用client用户账户访问管理功能。
CVE-
(CVSS评分
9.
——不受信任数据反序列化漏洞可造成远程代码执行导致未经身份验证的攻击者在主机上运行命令。
CVE-
(CVSS评分
9.
—— 认证绕过漏洞可导致未经身份验证的攻击者执行操作和方法。
CVE-
(CVSS评分
9.
—— 不受信任数据反序列化漏洞可导致远程代码执行允许未经身份验证的攻击者在主机上运行命令。
CVE-
(CVSS评分
9.
—— 认证绕过漏洞可导致攻击者调用Web Help Desk内的特定操作。
前三个漏洞由Horizon
ai公司研究员Jimi Sebree发现并报送其余三个漏洞则由watchTowr团队的研究员Piotr Bazydlo负责披露。
所有漏洞均已在WHD
2
1版本中修复。
Rapid7公司指出CVE-
和CVE-
均属于严重的不可信数据反序列化漏洞可使未经身份验证的远程攻击者在目标系统上实现远程代码执行进而执行诸如任意操作系统命令等恶意载荷。
通过反序列化实现远程代码执行是攻击者惯用的高可靠性攻击向量。
由于这两个漏洞在无需身份验证即可利用其可能造成的影响尤为严重。
该公司补充表示虽然CVE-
和CVE-
被归类为身份验证绕过漏洞但攻击者同样可利用它们实现远程代码执行最终达到与前述两个反序列化漏洞相同的利用效果。
近年来SolarWinds已多次发布修复方案修复其Web Help Desk软件中的多个漏洞包括CVE-2024-
CVE-2024-
CVE-
和CVE-
。
值得注意的是CVE-
修复的是CVE-
的补丁绕过问题而CVE-
本身又是针对CVE-
的补丁绕过。
2024年末美国网络安全和基础设施安全局将CVE-
和CVE-
列入其已知被利用漏洞 (KEV)目录理由是有证据表明这两个漏洞正被活跃利用。
研究人员提到CVE-
是又一个由AjaxProxy功能引发的反序列化漏洞可能导致远程代码执行。
为实现远程代码执行攻击者需要执行以下一系列操作——建立有效会话并提取关键值创建LoginPref组件设置LoginPref组件的状态以获取文件上传访问权限通过JSONRPC桥接在后台创建恶意Java对象触发这些恶意Java对象鉴于Web Help Desk的漏洞曾遭实际利用因此用户必须尽快将该服务台和IT服务管理平台更新至最新版本。
开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读SolarWinds 第三次修复 Web Help Desk RCE漏洞SolarWinds 修复 Web Help Desk 中的硬编码凭据漏洞SolarWinds Web Help Desk是 0day时或已遭利用SolarWinds 修复访问权限审计软件中的8个严重漏洞SolarWinds 访问审计解决方案中存在严重的RCE漏洞原文链接https://thehackernews.com/2026/01/solarwinds-fixes-four-critical-web-help.html题图Pixabay License本文由奇安信编译不代表奇安信观点。
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。
觉得不错就点个 “在看” 或 赞” 吧~