Исследователи безопасности обнаружили еще 3 уязвимости в продуктах SolarWinds, в том числе и критическую ошибку исполнения удаленного кода.
Trustwave недавно призвали устранить еще 3 уязвимости в продуктах SolarWinds. Компания их быстро исправила.
Две из них были обнаружены в SolarWinds Orion User Device Tracker, а третья – в продукте Serv-U FTP.
Первая была самой критичной. Она относится к устаревшей технологии Microsoft Message Queue, которая настраивается при установке, а также может позволить любому удаленному непривилегированному пользователю исполнять любой код с самыми высокими привилегиями.
Второй баг влиял на тот же продукт. Trustwave заявила, что учетные данные SolarWinds хранятся в небезопасной среде, что может позволить пользователям сети получить контроль над базой данных SOLARWINDS_ORION. Это давало возможность украсть информацию или выдать права администратора любому пользователю.
Последняя уязвимость была найдена в Serv-U FTP for Windows.