CERTFR-2022-AVI-864 : Multiples vulnérabilités dans les produits SolarWinds (29 septembre 2022)

Risque(s)

Exécution de code arbitraire à distance
Atteinte à la confidentialité des données
Élévation de privilèges
Injection de code indirecte à distance (XSS)

Systèmes affectés

SolarWinds Platform (anciennement Orion Platform) versions antérieures à 2022.3
Hybrid Cloud Observability versions antérieures à 2022.3

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SolarWinds. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité SolarWinds du 28 septembre 2022
https://www.solarwinds.com/trust-center/security-advisories/cve-2022-36965
Bulletin de sécurité SolarWinds du 28 septembre 2022
https://www.solarwinds.com/trust-center/security-advisories/cve-2022-36961
Bulletin de sécurité SolarWinds du 28 septembre 2022
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35226
Référence CVE CVE-2022-36965
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36965
Référence CVE CVE-2022-36961
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36961
Référence CVE CVE-2021-35226
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-35226

Avis de sécurité