SolarWinds 修复了 Web Help Desk 中的固定的凭证问题

SolarWinds 发布了一份警告，指出其 Web Help Desk (WHD) 软件存在一个硬编码凭证漏洞，允许远程未经身份验证的攻击者访问脆弱的实例。SolarWinds 将 WHD 描述为一个实惠的帮助台票务和资产管理软件，广泛用于大型企业和政府机构。

该公司发布的警告中写道：“SolarWinds Web Help Desk (WHD) 软件受到硬编码凭证漏洞的影响，使远程未经身份验证的用户能够访问内部功能并修改数据。”

该问题影响了 WHD 12.8.3 HF1 及所有之前版本，并在发布 12.8.3 HF2 时得到解决。该漏洞是由 Horizon3.ai 安全研究员 Zach Hanley 发现的。

最近一周，美国网络安全和基础设施安全局（CISA）将 SolarWinds Web Help Desk 反序列化未受信任数据漏洞（CVE-2024-28986，CVSS 分数为 9.8）添加到其已知被攻击漏洞（KEV）目录中。该漏洞是一种 Java 反序列化问题，攻击者可以利用该漏洞在脆弱主机上运行命令，从而实现远程代码执行。

原文始发于微信公众号（黑猫安全）：SolarWinds 修复了 Web Help Desk 中的固定的凭证问题