Skip to main content

Vulnerabilidad en SolarWinds Serv-U | DKCERT

julio 6, 2024


SonicWall Capture Labs ha encontrado una vulnerabilidad de «recorrido de ruta» en SolarWinds Serv-U.

Esto aparece en una publicación de blog de SonicWall.

La vulnerabilidad tiene el ID CVE-2024-28995 y una puntuación CVSS de 8,6. Ocurre como resultado de un error en la validación de entrada donde se ensambla una ruta local a un archivo solicitado en la llamada al método «BuildLocalPath». Permite a un actor malintencionado insertar un parámetro InternalDir especialmente diseñado en la llamada al método y así «cruzar» las rutas deseadas. Luego, el actor malintencionado puede especificar cualquier nombre de archivo utilizando el parámetro InternalFile para acceder al archivo.

Los productos afectados son SolarWinds Serv-U 15.4.2 HF 1 y versiones anteriores.

Hay informes de explotación activa de la vulnerabilidad.

Se recomienda actualizar las versiones vulnerables según las instrucciones del fabricante.

Enlaces:

https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28995



Source link

Saber más  Vulnerabilidades en QTS y QuTS hero - Aviso de seguridad
Translate »