Amerikalı iş yazılımı geliştiricisi SolarWinds, bugün yayınladığı güvenlik duyurusunda, müşteri desteği için geliştirilen Web Help Desk çözümündeki kritik bir açığın uzaktan kod çalıştırma amacıyla kullanılabileceği konusunda uyardı.
Şirket bir düzeltme yayınladı ve CVE-2024-28986 olarak izlenen güvenlik sorununun, bir saldırganın güvenlik açığı bulunan bir ana bilgisayarda komut çalıştırmasına olanak tanıyan bir Java seri çözme işlemi olduğunu söylüyor.
Web Help Desk (WHD), yardım masası yönetim görevlerini merkezileştiren, otomatikleştiren ve kolaylaştıran bir BT yardım masası yazılımıdır. Büyük şirketler, hükümet kuruluşları, sağlık, eğitim ve yardım masası merkezleri tarafından yaygın olarak kullanılır.
SolarWinds, CVE-2024-28986’nın kimlik doğrulaması olmadan istismar edilebilecek bir güvenlik açığı olarak bildirildiğini ancak mühendislerinin bunu ancak kimlik doğrulaması yapıldıktan sonra yeniden üretebildiğini belirtiyor.
Buna rağmen, güvenlik açığının kritik önem puanı 9.8’dir ve düzeltme uygulanmışsa en son sürüm olan 12.8.3 hariç tüm SolarWinds Web Help Desk sürümlerini etkiler.
Satıcı, tüm WHD müşterilerinin yazılımın en yeni sürümüne yükseltmelerini ve düzeltmeyi mümkün olan en kısa sürede uygulamalarını öneriyor.
Kimliği doğrulanmamış bir güvenlik açığı olarak bildirilmesine rağmen SolarWinds, kapsamlı testler sonrasında kimlik doğrulaması olmadan bunu yeniden üretemedi.
Ancak, ihtiyaten tüm Web Help Desk müşterilerimize, şu anda kullanıma sunulmuş olan yamayı uygulamalarını öneriyoruz.
Düzeltme, ZIP arşivi olarak burada mevcuttur ve Web Help Desk 12.8.3.1813 gerektirir. Yamanın çalışması için yöneticilerin belirli dosyaları manuel olarak eklemeleri ve değiştirmeleri gerekir.
SolarWinds, düzeltmenin nasıl uygulanacağı ve kaldırılacağına dair eksiksiz talimatlar sağlayan bir destek makalesi yayınladı.
SolarWinds, düzeltmenin doğru uygulanmaması durumunda olası sorunları önlemek için, orijinal dosyaları değiştirmeden önce yedek kopyalarının oluşturulmasını öneriyor.