Vulnérabilité dans le logiciel SolarWinds Network Performance Monitor de la plateforme SolarWind Orion
Date de publication :
SolarWinds Network Performance Monitor est un des composants de la plateforme SolarWind Orion.
CVE-2021-31474 [Score CVSS v3 : 9.8]
Une vulnérabilité au sein de la bibliothèque SolarWinds.Serialization utilisée dans SolarWinds Network Performance Monitor a été corrigée. Cette faille est due à l'absence de validation correcte des données fournies par l'utilisateur, ce qui peut entraîner la désérialisation de données non fiables.
Son exploitation peut permettre à un attaquant distant et non authentifié d'exécuter du code arbitraire avec les privilèges SYSTEM sur les installations affectées de SolarWinds Network Performance Monitor.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Les versions de SolarWind Orion antérieures à 2020.2.5 sont impactées par cette vulnérabilité.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour SolarWind Orion vers la version 2020.2.5.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.