BDU:2022-00154

Опубликовано: 20 дек. 2021

Источник: fstec

CVSS3: 6.8

CVSS2: 5.8

EPSS Средний

Описание

Уязвимость реализации компонента управления «Log alert to a file» программного обеспечения сетевого мониторинга SolarWinds Orion Platform связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии или выполнить произвольный код

Вендор

SolarWinds Inc.

Наименование ПО

SolarWinds Orion Platform

Версия ПО

до 2020.2.6 Hotfix 3 (SolarWinds Orion Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://support.solarwinds.com/SuccessCenter/s/article/Orion-Platform-2020-2-6-Hotfix-3?language=en_US

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-35244
CVE

EPSS

Процентиль: 95%

0.19111

Средний

6.8 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

CVE-2021-35244

CVSS3: 6.8

nvd

около 4 лет назад

The "Log alert to a file" action within action management enables any Orion Platform user with Orion alert management rights to write to any file. An attacker with Orion alert management rights could use this vulnerability to perform an unrestricted file upload causing a remote code execution.

GHSA-j7c8-fmh5-w5pf

CVSS3: 7.2

github