SolarWinds Web Help Desk多个安全漏洞
0x01漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02漏洞描述
Solarwinds Web Help Desk是Solarwinds公司的一套服务台和资产管理软件。该软件支持集中式知识库、IT资产管理、项目和任务管理等功能。
2021年12月24日,漏洞云团队监测到 Solarwinds发布安全公告,修复了两个个存在于 Web Help Desk 中的漏洞。其中,1个高危漏洞,1个中危漏洞,漏洞详情如下:
1. SolarWinds Web Help Desk 硬编码漏洞
SolarWinds Web Help Desk 硬编码漏洞 漏洞编号 CVE-2021-35232 漏洞类型 硬编码 漏洞等级 高危 公开状态 未知 在野利用 未知 漏洞描述 SolarWinds Web Help Desk 中的硬编码凭据。通过这些凭据,攻击者可以被允许对数据库执行任意 HSQL 查询。 |
2. SolarWinds Web Help Desk 设计缺陷
SolarWinds Web Help Desk 设计缺陷 漏洞编号 CVE-2021-35243 漏洞类型 设计缺陷 漏洞等级 中危 公开状态 未知 在野利用 未知 漏洞描述 Web Help Desk Web 服务器(版本 12.7.6 及更早版本)中启用了 HTTP PUT 和 DELETE 方法,允许用户执行危险的 HTTP 请求。HTTP PUT 方法通常用于使用用户提供的 URL 上传保存在服务器上的数据。DELETE 方法请求源服务器删除目标资源与其当前功能之间的关联。这些方法的不当使用可能会导致完整性的丧失。 |
0x03漏洞等级
高危
0x04影响版本
SolarWinds Web Help Desk <=12.7.6
0x05修复建议
厂商已经在12.7.7.8388版本修复上述漏洞,用户请尽快升级到安全版本。
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
