/i/2004071452.png?fit=%2C&ssl=1)
SolarWinds a mis en œuvre un correctif de bug pour son service d’assistance Web qui permettait aux attaquants de se connecter au système à l’aide d’informations d’identification codées en dur dans le logiciel.
Vents solaires écrit sur une page d’assistance qu’il a publié un correctif pour un bogue dans Web Help Desk 12.8.3 HF1 et versions antérieures. Il s’agit d’un système de billetterie et d’assistance destiné aux administrateurs de produits SolarWinds. Ce logiciel s’est avéré contenir un bug qui est suivi comme CVE-2024-28987. Il s’agit d’un « identifiant » codé en dur dans le logiciel. Il n’est pas clair quels types d’informations d’identification sont impliqués, comme un nom d’utilisateur et/ou un mot de passe ou, par exemple, une API ou un jeton d’accès. SolarWinds affirme qu’il était au moins possible pour un attaquant d’accéder à un système puis à des données.
Le correctif, 12.8.3 HF2, inclut également un correctif pour un bug dans l’outil d’assistance annoncé plus tôt cette semaine. C’est CVE-2024-28986un bug dans la fonctionnalité de désérialisation Java qui permettait à un attaquant d’exécuter du code sur une machine hôte. Son découvreur affirme que cela pourrait être fait sans être authentifié, mais SolarWinds affirme qu’il n’a pas pu reproduire cette dernière. L’entreprise affirme qu’il est néanmoins judicieux que les administrateurs implémentent le correctif.
L’Agence américaine de cybersécurité et de sécurité des infrastructures, CISA, a ajouté ce deuxième bug à sa liste d’exploits connus la semaine dernière. Cela signifie que cette vulnérabilité est exploitée dans la pratique, mais l’agence ne partage aucun détail à ce sujet. La seule chose que dit la CISA, c’est qu’on ne sait pas si la fuite sera utilisée pour des campagnes de ransomware.
2024-08-23 17:37:14
1724426852
#SolarWinds #corrige #bug #où #les #informations #didentification #codées #dur #trouvaient #dans #code #source #Ordinateur #Actualités
