SolarWinds устранила 5 RCE-уязвимостей в Access Rights Manager

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Критические недостатки были исправлены, но вопросы к компании ещё остались…

SolarWinds, известный разработчик программного обеспечения для управления IT-инфраструктурой, выпустил обновления для устранения пяти уязвимостей , позволяющих произвести удалённое выполнение кода (RCE) в своём продукте Access Rights Manager (ARM). Среди них три уязвимости оценены как критические, так как могут быть эксплуатированы без аутентификации.

ARM используется компаниями для управления и аудита прав доступа в их IT-инфраструктурах, что позволяет минимизировать риски, связанные с угрозами со стороны внутренних пользователей.

Две критические уязвимости CVE-2024-23476 и CVE-2024-23479 (оценки по CVSS 9.6) связаны с недостатками обхода пути (Path Traversal), а третья под идентификатором CVE-2023-40057 (оценка по CVSS 9.0) — с небезопасной десериализацией (Deserialization of Untrusted Data). Все три вышеописанных уязвимости могут быть использованы неаутентифицированными атакующими для выполнения кода на целевых системах, которые не были обновлены до безопасной версии ПО.

Забудь про блокировки! VPN через Телеграмм-бот для России!

Ещё две уязвимости под идентификаторами CVE-2024-23477 и CVE-2024-23478 (7.9 и 8.0 баллов по CVSS) также могут быть использованы для RCE-атак и классифицируются как проблемы высокой степени опасности.

Все уязвимости были обнаружены независимыми исследователями в рамках инициативы Zero Day Initiative (ZDI) от компании Trend Micro.

Обновление Access Rights Manager 2023.2.3, выпущенное 15 февраля , включает исправления всех пяти уязвимостей, перечисленных выше, а также дополнительные улучшения безопасности. Представитель SolarWinds сообщил, что компания не получала сообщений о реальной эксплуатации этих уязвимостей в «дикой природе».

Разработчики отработали без претензий, быстро закрыв критические недостатки безопасности в своём продукте, за что SolarWinds можно только похвалить. А вот за что компанию похвалить нельзя, так это за то, что ей свойственна политика полуправды , в чём комиссия по ценным бумагам и биржам США (SEC) обвиняла SolarWinds в октябре прошлого года.

  Avast: от защитника к предателю - как компания кибербезопасности стала врагом своих клиентов?

Приватность — это право, а не роскошь.

Подпишитесь на наш канал и защитите свои права

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.