鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】CVE-2020-10148 SolarWinds Orion RCE误差

宣布时间 2020-12-28

0x00 误差概述

CVE ID	CVE-2020-10148	时间	2020-12-28
类型	RCE	等级	高危
远程使用	是	影响规模

0x01 误差详情

SolarWinds Orion Platform是基础设施和系统治理产品套件。。。。SolarWinds Orion API被嵌入到Orion内核中，，，，，，，用于与所有SolarWinds Orion平台产品举行毗连。。。。

克日，，，，，，，SolarWinds Orion API中被披露保存一个远程代码执行误差（CVE-2020-10148）。。。。该误差是由于SolarWinds Orion API身份验证能够被绕过，，，，，，，攻击者可以通过在Request.PathInfo URI请求中使用特定参数来使用此误差，，，，，，，最终攻击者可以远程执行未经身份验证的API下令。。。。尤其是当攻击者附加一个PathInfo函数的参数为WebResource.adx、ScriptResource.adx、i18n.ashx、或Skipi18n的请求给SolarWinds Orion效劳器时，，，，，，，SolarWinds可以设置SkipAuthorization flag，，，，，，，这样可以在不需要身份验证的情形下处置惩罚API请求。。。。

0x02 处置惩罚建议

现在，，，，，，，SolarWinds已经宣布了此误差的清静更新，，，，，，，建议将SolarWinds Orion更新至如下版本：

2019.4 HF 6（2020年12月14日宣布）

2020.2.1 HF 2（2020年12月15日宣布）

2019.2 SUPERNOVA补丁�。。。�2020年12月23日宣布）

2018.4 SUPERNOVA补丁�。。。�2020年12月23日宣布）

2018.2 SUPERNOVA补丁�。。。�2020年12月23日宣布）

下载链接：

https://www.solarwinds.com/securityadvisory

0x03 参考链接

https://kb.cert.org/vuls/id/843464

https://github.com/solarwinds/OrionSDK/wiki

https://cyber.dhs.gov/ed/21-01/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10148

0x04 时间线

2020-12-26 CERT/CC披露误差

2020-12-27 CERT/CC更新误差

2020-12-28 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】