CVE-2020-27869

**Nome do software vulnerável e versões afetadas:

SolarWinds Network Performance Monitor versões 2020 HF1, 2020.2

Descrição:

Esta vulnerabilidade permite que invasores remotos elevem privilégios nas instalações afetadas. É necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no método WriteToFile, resultante da falta de validação adequada de uma string fornecida pelo usuário antes de usá-la para construir consultas SQL. Um invasor pode aproveitar esta vulnerabilidade para elevar privilégios e redefinir a senha do usuário Admin.

Recomendações:

Para as versões 2020 HF1 e 2020.2 do SolarWinds Network Performance Monitor, considere desativar o método WriteToFile até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às consultas SQL para minimizar o risco de escalonamento de privilégios. Evite usar strings fornecidas pelo usuário em consultas SQL até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.