PT-2020-13835 · Solarwinds · Solarwinds Orion
Alert3
+1
·
Publicado
2020-06-24
·
Atualizado
2020-07-07
·
CVE-2020-14007
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
SolarWinds Orion versão 2019.4 com Web Console WPM 2019.4.1 e Orion Platform HF4 ou NPM HF2 2019.4
Descrição
A vulnerabilidade permite a execução de scripts entre sites (XSS) por meio do nome de uma definição de alerta. Isso significa que um invasor poderia injetar scripts maliciosos no site, afetando os usuários que acessam o site.
Recomendações
Para o Solarwinds Orion versão 2019.4 com Web Console WPM 2019.4.1 e Orion Platform HF4 ou NPM HF2 2019.4, considere desativar o recurso de definição de alertas até que uma correção esteja disponível para evitar possíveis ataques XSS. Restrinja o acesso ao módulo de definição de alertas para minimizar o risco de exploração. Evite usar dados inseridos pelo usuário nos nomes das definições de alertas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Solarwinds Orion