SolarWinds修复Web Help Desk中的硬编码凭据漏洞

SolarWinds发布了一个关键修补程序,以解决其Web Help Desk(WHD)软件中的严重漏洞(CVE-2024-28987),该软件被各种大型组织(包括政府机构、企业和教育机构)使用。此漏洞允许攻击者利用硬编码凭据登录未打补丁的系统,从而可能使他们能够访问内部功能并修改数据。该漏洞是由Horizon3.ai的研究员Zach Hanley发现的。

该公司尚未发布有关此问题的完整安全公告,但已提供了部署此修复程序的详细说明。建议管理员在应用此修复程序之前将其系统升级到特定版本,并备份原始文件以防止在补丁失败时丢失数据。

此外,该修补程序还解决了另一个严重的WHD远程代码执行漏洞(CVE-2024-28986),该漏洞已被积极利用,促使CISA将其包含在已知被利用的漏洞(KEV)目录中。根据约束性运营指令(BOD)22-01,联邦机构被要求在9月5日之前修补其系统。

来源