SolarWinds Orion Platform 权限许可和访问控制问题漏洞

CVE编号

CVE-2019-9546

利用情况

暂无

补丁情况

N/A

披露时间

2019-03-02
漏洞描述
SolarWinds Orion Platform是美国SolarWinds公司的一套网络故障和网络性能管理平台。该平台可对网络设备提供实时监测和分析,并支持定制网页介面、多种用户意见和对整个网络进行地图式浏览等。
SolarWinds Orion Platform 2018.4 Hotfix 2之前版本中存在安全漏洞。攻击者可借助RabbitMQ服务利用该漏洞提升权限。

解决建议
厂商已发布漏洞修复程序,请及时关注更新:
https://support.solarwinds.com/Success_Center/Orion_Platform/Orion_Documentation/Additional_Resources/Orion_Platform_2018-4_Hotfix_2
参考链接
https://github.com/active-labs/Advisories/blob/master/2019/ACTIVE-2019-005.md
https://support.solarwinds.com/SuccessCenter/s/article/CVE-2019-9546-Orion-Pl...
https://support.solarwinds.com/Success_Center/Orion_Platform/Orion_Documentat...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 solarwinds orion_platform * Up to
(excluding)
2018.4
运行在以下环境
应用 solarwinds orion_platform 2018.4 -
CVSS3评分
9.8
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-ID 漏洞类型
CWE-427 对搜索路径元素未加控制
阿里云安全产品覆盖情况