PT-2020-9346 · Solarwinds · Solarwinds Orion Platform+2
Publicado
2020-05-04
·
Atualizado
2021-07-21
·
CVE-2019-12864
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
SolarWinds Orion Platform versão 2018.4 HF3 (NPM 12.4, NetPath 1.1.4)
Descrição:
O problema está relacionado ao tratamento inadequado de erros com rastreamentos de pilha, o que pode levar ao vazamento de informações. Isso pode ser demonstrado pela descoberta de um caminho completo ao ocorrer um erro 500 Internal Server Error por meio do parâmetro de consulta “api2/swis/query?lang=en-us&swAlertOnError=false”.
Recomendações:
Para a SolarWinds Orion Platform versão 2018.4 HF3 (NPM 12.4, NetPath 1.1.4), considere desativar o endpoint
api2/swis/query até que um patch esteja disponível para evitar o vazamento de informações. Restrinja o acesso aos parâmetros lang e swAlertOnError no endpoint da API afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Npm
Netpath
Solarwinds Orion Platform