[TLP:CLEAR] SolarWinds opravuje 2 zranitelnosti
SolarWinds opravuje 2 zranitelnosti v produktech Observability Self-Hosted a Web Help Desk [1][2]. Produkty a jejich opravy: SolarWinds Observability Self-Hosted - 2025.2.1 [1] SolarWinds Web Help Desk - 12.8.7 [2]
Autentizovanému lokálnímu útočníkovi s nízkými oprávněními je kvůli deserializaci nedůvěryhodných dat umožněno eskalovat oprávnění a spustit škodlivé soubory z chráněného adresáře [1].
Zranitelnost se nachází v produktu SolarWinds Observability Self-Hosted ve verzích <=2025.2.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-26397 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-502: Deserialization of Untrusted Data at cwe.mitre.org
Zranitelnost byla veřejně oznámena 24. 7. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu XML External Entity Injection (XXE) umožněno získat citlivé informace. Pokud má útočník přístup k místnímu serveru a může upravit konfigurační soubory, přihlášení není vyžadováno [2].
Zranitelnost se nachází v produktu SolarWinds Web Help Desk ve verzích <=12.8.6.
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2025-26400 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-611: Improper Restriction of XML External Entity Reference at cwe.mitre.org
Zranitelnost byla veřejně oznámena 29. 7. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 5. 8. 2025.
