Еще 3 уязвимости в продуктах SolarWinds

Исследователи безопасности обнаружили еще 3 уязвимости в продуктах SolarWinds, в том числе и критическую ошибку исполнения удаленного кода.

Trustwave недавно призвали устранить еще 3 уязвимости в продуктах SolarWinds. Компания их быстро исправила.

Две из них были обнаружены в SolarWinds Orion User Device Tracker, а третья – в продукте Serv-U FTP.

Первая была самой критичной. Она относится к устаревшей технологии Microsoft Message Queue, которая настраивается при установке, а также может позволить любому удаленному непривилегированному пользователю исполнять любой код с самыми высокими привилегиями.

Второй баг влиял на тот же продукт. Trustwave заявила, что учетные данные SolarWinds хранятся в небезопасной среде, что может позволить пользователям сети получить контроль над базой данных SOLARWINDS_ORION. Это давало возможность украсть информацию или выдать права администратора любому пользователю.

Последняя уязвимость была найдена в Serv-U FTP for Windows.