Solarwinds hat die Version 12.8.4 der Web Help Desk-Software veröffentlicht. Darin schließt der Hersteller eine Schwachstelle in der eigentlichen Software – und stopft auch teilweise kritische Sicherheitslücken in mitgelieferten Komponenten von Drittanbietern. IT-Verantwortliche sollten die Aktualisierung zügig anwenden.
Anzeige
In den Release-Notes zur neuen Web Help Desk-Version listet Solarwinds die geschlossenen Sicherheitslecks auf. Die Entwickler haben eine Lücke in Web Help Desk selbst korrigiert, durch die Dateien ausgelesen werden können, sofern die Software unter Linux und zudem in dem nicht standardmäßigen aktivierten Entwicklungs- oder Test-Modus läuft (CVE-2024-45709, CVSS 5.3, Risiko "mittel").
Die mitgelieferten Dritthersteller-Komponenten sind hingegen wesentlich problematischer: In Apache Tomcat klafft eine Sicherheitslücke, durch die Angreifer unter Umständen die Authentifizierung umgehen und so unbefugt Zugriff erhalten können (CVE-2024-52316, CVSS 9.8, kritisch). DOMPurify soll vor Cross-Site-Scripting schützen, ist jedoch selbst etwa für "mutated Cross-Site-Scripting" (mXSS) anfällig (CVE-2024-47875, CVSS 9.8, kritisch), enthält eine Prototype-Pollution-Schwachstelle (CVE-2024-48910, CVSS 9.1, kritisch) und ist für eine weitere hochriskante (CVE-2024-45801, CVSS 7.3, hoch) sowie eine mittelschwere Cross-Site-Scripting-Lücke verwundbar (CVE-2020-26870, CVSS 6.1, mittel).
Die aktualisierte Fassung 12.8.4 steht auf der Solarwinds-Webseite oder im Kundenportal von Solarwinds zum Herunterladen bereit.