SolarWinds介绍

SolarWinds Inc. 是一家美国公司，为企业提软件以帮助管理其网络，系统和信息技术基础架构。其中SolarWinds Orion平台是一套基础架构以及系统监视和管理产品。

漏洞描述

SolarWinds Orion API嵌入在Orion Core中，被用于与所有SolarWinds Orion Platform产品进行接口。通过在URI请求的Request.PathInfo部分中包含特定参数，可以绕过API身份验证，这可能允许攻击者执行未经身份验证的API命令。 如果攻击者将WebResource.adx，ScriptResource.adx，i18n.ashx或Skipi18n的PathInfo参数附加到对SolarWinds Orion服务器的请求，SolarWinds可能会设置SkipAuthorization标志，该标志可能允许处理API请求且无需身份验证。

影响范围

【影响版本】

2020.2.1 HF 2 及 2019.4 HF 6之前的版本

修复方案

目前厂商还已升级补丁修复漏洞，请受影响用户及时关注更新官方补丁。官方链接如下：https://github.com/OpenTSDB/opentsdb/releaseshttps://www.solarwinds.com/securityadvisory#anchor2

https://downloads.solarwinds.com/solarwinds/Support/SupernovaMitigation.zip