Múltiples vulnerabilidades en SolarWinds Access Rights Manager

Fecha de publicación 19/02/2024

Importancia

5 - Crítica

Recursos Afectados

ARM, versiones 2023.2.2 y anteriores.

Descripción

Zero Day Initiative, de Trend Micro, en colaboración con un investigador anónimo, han reportado 3 vulnerabilidades de severidad crítica que afectan al producto de control de accesos Access Rights Manager (ARM), del fabricante SolarWinds.

Solución

Actualizar ARM a la versión 2023.2.3.

Detalle

Un atacante remoto podría explotar estas 3 vulnerabilidades críticas para ejecutar código, aprovechando fallos en la deserialización de datos no confiables o la limitación incorrecta de una ruta a un directorio restringido (directory traversal). Se han asignado los identificadores CVE-2023-40057, CVE-2024-23476 y CVE-2024-23479 para estas vulnerabilidades.

Listado de referencias

SolarWinds Access Rights Manager (ARM) Deserialization of Untrusted Data Remote Code Execution Vulnerability (CVE-2023-40057)

SolarWinds Access Rights Manager (ARM) Directory Traversal Remote Code Execution Vulnerability (CVE-2024-23476)

SolarWinds Access Rights Manager (ARM) Traversal Remote Code Execution Vulnerability (CVE-2024-23479)

Etiquetas