SolarWinds a publié un certain nombre d'avis décrivant des failles critiques qui devraient être corrigées d'ici la fin février par une mise à niveau de la plate-forme SolarWinds.

Cinq des sept défauts de sécurité sont décrits comme des problèmes de désérialisation de données non fiables qui pourraient être exploités pour exécuter des commandes. Un srore CVSS de 8,8 a été attribué à quatre d'entre elles.

Suivies sous les noms de CVE-2023-23836, CVE-2022-47503, CVE-2022-47504 et CVE-2022-47507, selon la société, ces failles de haute gravité pourraient permettre à un adversaire distant disposant d'un accès de niveau administrateur Orion à la console Web SolarWinds d'exécuter des commandes arbitraires.

Le cinquième bogue, qui porte le nom de CVE-2022-38111, est considéré comme un problème de gravité moyenne, bien que les conséquences d'une exploitation réussie soient les mêmes. En outre, la faille a un score CVSS de 7,2, ce qui lui donne un degré de gravité élevé.

La société a également annoncé des correctifs pour une vulnérabilité de traversée de chemin de haute gravité dans la plateforme SolarWinds, qui est suivie sous le nom de CVE-2022-47506 (score CVSS de 8,8). Elle permet à un adversaire local disposant d'un accès à un compte authentifié de modifier la configuration par défaut, permettant l'exécution de commandes arbitraires.

Toutes les vulnérabilités seront corrigées dans la version 2023.1 de SolarWinds Platform, qui devrait être accessible avant la fin du mois. Il est recommandé aux utilisateurs de mettre à jour vers cette version dès qu'elle sera disponible.