204/67 (IT) ประจำวันจันทร์ที่ 10 มิถุนายน 2567
บริษัท SolarWinds ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ความรุนแรงสูงหลายรายการใน Serv-U และ SolarWinds Platform ที่ส่งผลกระทบต่อ Platform 2024.1 SR 1 และในเวอร์ชันก่อนหน้า โดยที่มีหนึ่งในช่องโหว่ที่ถูกแก้ไขและได้รับการรายงานโดยนักทดสอบการเจาะระบบที่ทำงานร่วมกับ NATO ที่หมายเลข CVE-2024-28996 มีคะแนน CVSS 7.5 ที่อนุญาตให้ผู้ใช้งานสามารถค้นหาฐานข้อมูลของ SolarWinds เพื่อหาข้อมูลเกี่ยวกับเครือข่ายได้ ซึ่งช่องโหว่นี้ถูกค้นพบโดย Nils Putnins จากหน่วยงาน NATO Communications and Information Agency
นอกจากนี้บริษัท SolarWinds ยังได้แก้ไขช่องโหว่อีกหลายรายการที่เกี่ยวข้องกับบริษัทภายนอก ที่ช่องโหว่ CVE-2024-28999 (คะแนน CVSS 6.4) และ CVE-2024-29004 (คะแนน CVSS 7.1) เป็นปัญหา race condition และ XSS bug ที่ถูกเก็บใน web console โดยทางบริษัท SolarWinds ได้ปล่อยเวอร์ชัน 2024.2 เพื่อแก้ไขช่องโหว่ดังกล่าว โดยในขณะนี้ยังไม่เป็นที่แน่ชัดว่าช่องโหว่เหล่านี้ได้ถูกนำไปใช้ในการโจมตีจริงหรือไม่
แหล่งข่าว https://securityaffairs.com/164270/security/solarwinds-flaws-serv-u-platform.html
