SolarWinds Web 帮助台中发现硬编码凭证漏洞

SolarWinds 已发布补丁来解决其 Web Help Desk (WHD) 软件中的一个新安全漏洞，该漏洞可能允许远程未经身份验证的用户未经授权访问易受攻击的实例。

该公司在今天发布的新公告中表示： “SolarWinds Web Help Desk (WHD) 软件受到硬编码凭证漏洞的影响，允许未经身份验证的远程用户访问内部功能并修改数据。”

该漏洞编号为CVE-2024-28987，在 CVSS 评分系统中评级为 9.1，表示严重程度极高。Horizo​​n3.ai 安全研究员 Zach Hanley 因发现并报告该漏洞而受到赞誉。

建议用户更新到版本12.8.3 Hotfix 2，但应用该修复需要 Web Help Desk 12.8.3.1813 或 12.8.3 HF1。

一周前，SolarWinds 着手解决同一软件中的另一个可被用于执行任意代码的严重漏洞（CVE-2024-28986，CVSS 评分：9.8）。

根据美国网络安全和基础设施安全局 (CISA) 的说法，该漏洞此后已被广泛利用，尽管它在现实世界的攻击中如何被滥用目前仍不得而知。

有关 CVE-2024-28987 的更多详细信息预计将于下个月发布，因此及时安装更新以减轻潜在威胁至关重要。