SolarWinds Orion API认证绕过漏洞(CVE-2020-10148)
日期:2020-12-29 00:00:00  发布人:教育信息化建设处  浏览量:56

SolarWinds介绍

SolarWinds Inc. 是一家美国公司,为企业提软件以帮助管理其网络,系统和信息技术基础架构。其中SolarWinds Orion平台是一套基础架构以及系统监视和管理产品。

漏洞描述

SolarWinds Orion API嵌入在Orion Core中,被用于与所有SolarWinds Orion Platform产品进行接口。通过在URI请求的Request.PathInfo部分中包含特定参数,可以绕过API身份验证,这可能允许攻击者执行未经身份验证的API命令。 如果攻击者将WebResource.adx,ScriptResource.adx,i18n.ashx或Skipi18n的PathInfo参数附加到对SolarWinds Orion服务器的请求,SolarWinds可能会设置SkipAuthorization标志,该标志可能允许处理API请求且无需身份验证。

影响范围

【影响版本】

2020.2.1 HF 2 及 2019.4 HF 6之前的版本

 

修复方案

目前厂商还已升级补丁修复漏洞,请受影响用户及时关注更新官方补丁。官方链接如下:https://github.com/OpenTSDB/opentsdb/releaseshttps://www.solarwinds.com/securityadvisory#anchor2

https://downloads.solarwinds.com/solarwinds/Support/SupernovaMitigation.zip

核发:0 点击数:56 收藏本页
 

联系电话:023-42464987 重庆人文科技学院教育信息化建设处 版权所有