Firma SolarWinds informuje o podatnościach w swoich produktach. (P25-245)

cert.pse-online.pl 1 miesiąc temu

Produkt	SWOSH 2025.2 i wcześniejsze wersje
Numer CVE	CVE-2025-26397
Krytyczność	7.8/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	SolarWinds Observability Self-Hosted jest podatny na lukę w zabezpieczeniach Deserializacja niezaufanych danych (Local Privilege Escalation). Atakujący z niskimi uprawnieniami może je zwiększyć, aby uruchomić złośliwe pliki skopiowane do folderu chronionego uprawnieniami. Ta luka wymaga uwierzytelnienia z poziomu konta niskiego poziomu i lokalnego dostępu do serwera hosta.

Aktualizacja	TAK
Link	https://www.solarwinds.com/trust-center/security-advisories/cve-2025-26397

Produkt	SolarWinds Web Help Desk 12.8.6 i wszystkie poprzednie wersje
Numer CVE	CVE-2025-26400
Krytyczność	5.3/10
CVSS	AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Opis	Zgłoszono, iż SolarWinds Web Help Desk jest narażony na lukę w zabezpieczeniach XML External Entity Injection (XXE), która może prowadzić do ujawnienia informacji. Wymagany jest prawidłowy dostęp z niskimi uprawnieniami, chyba iż atakujący miał dostęp do serwera lokalnego w celu modyfikacji plików konfiguracyjnych.

Aktualizacja	TAK
Link	https://www.solarwinds.com/trust-center/security-advisories/cve-2025-26400