SolarWinds, Erişim Hakları Yöneticisi yazılımındaki üç uzaktan kod yürütme (RCE) hatasını düzeltti.
Kritik dereceli üç hata, Haziran ayında Zero Day Initiative (ZDI) tarafından keşfedilip SolarWinds’e bildirildi ve iki kuruluş, hataları 19 Ekim’de açıkladı.
CVE-2023-35182 bir seri durumdan çıkarma hatasıdır. ZDI’nın bildiriminde “Belirli bir kusur, createGlobalServerChannelInternal yönteminde mevcut” diyor.
“Sorun, kullanıcı tarafından sağlanan verilerin uygun şekilde doğrulanmamasından kaynaklanıyor ve bu da güvenilmeyen verilerin seri durumdan çıkarılmasına neden olabilir.
“Bir saldırgan, SİSTEM bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.”
CVE-2023-35185, yazılımın OpenFile yöntemindeki bir hatadır. ZDI, kullanıcı tarafından sağlanan dosya yollarının doğru şekilde doğrulanmamasının saldırganlara RCE’ye giden bir yol sağladığını söyledi.
Üçüncü hata olan CVE-2023-35187 de bu sefer OpenClientUpdateFile yönteminde meydana gelen bir dosya yolu doğrulama hatasıdır. Bir kez daha saldırganlara RCE’ye giden yolu sağlıyor.
SolarWinds, güncellemesinde ayrıca seri durumdan çıkarma, uygunsuz varsayılan izin ve dizin geçiş hataları dahil olmak üzere tamamı ZDI tarafından bildirilen, CVSS puanı 7,8 ile 8,8 arasında olan sekiz güvenlik açığını da yamaladı.
SolarWinds, ilk olarak FireEye tarafından tespit edilen 2020 yılında büyük bir veri ihlaline maruz kaldı.