SolarWinds, Web Yardım Masası (WHD) yazılımındaki, kimliği doğrulanmamış uzaktan kullanıcıların savunmasız örneklere yetkisiz erişim sağlamasına olanak tanıyan yeni bir güvenlik açığını gidermek için yamalar yayınladı.
“SolarWinds Web Yardım Masası (WHD) yazılımı, sabit kodlanmış bir kimlik bilgisi güvenlik açığından etkileniyor ve bu da [a] Şirket bugün yayınladığı yeni duyuruda, “Uzaktaki kimliği doğrulanmamış kullanıcıların dahili işlevlere erişmesini ve verileri değiştirmesini engelleyecek” ifadesini kullandı.
Sorun, şu şekilde izlendi: CVE-2024-28987CVSS puanlama sisteminde 9.1 olarak derecelendirildi ve kritik öneme sahip. Horizon3.ai güvenlik araştırmacısı Zach Hanley, açığı keşfeden ve bildiren kişi olarak tanınıyor.
Kullanıcıların 12.8.3 Hotfix 2 sürümüne güncelleme yapmaları önerilir, ancak düzeltmeyi uygulamak için Web Help Desk 12.8.3.1813 veya 12.8.3 HF1 gereklidir.
Açıklama, SolarWinds’in aynı yazılımdaki, keyfi kod çalıştırmak için kullanılabilecek başka bir kritik açığı (CVE-2024-28986, CVSS puanı: 9,8) gidermek için harekete geçmesinden bir hafta sonra geldi.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’na (CISA) göre, söz konusu açığın gerçek dünyada nasıl kullanıldığı henüz bilinmiyor ancak yaygın olarak kullanılmaya başlandı.
CVE-2024-28987 hakkında ek ayrıntıların önümüzdeki ay yayınlanması bekleniyor ve bu nedenle olası tehditleri azaltmak için güncellemelerin zamanında yüklenmesi büyük önem taşıyor.