SolarWinds a publié des correctifs pour corriger une nouvelle faille de sécurité dans son logiciel Web Help Desk (WHD) qui pourrait permettre aux utilisateurs distants non authentifiés d’accéder sans autorisation à des instances sensibles.
« Le logiciel SolarWinds Web Help Desk (WHD) est affecté par une vulnérabilité d’informations d’identification codées en dur, permettant [a] utilisateur distant non authentifié pour accéder aux fonctionnalités internes et modifier les données », a déclaré la société dit dans un nouvel avis publié aujourd’hui.
Le problème, suivi comme CVE-2024-28987est noté 9,1 sur le système de notation CVSS, ce qui indique une gravité critique. Le chercheur en sécurité d’Horizon3.ai, Zach Hanley, a été crédité de la découverte et du signalement de la faille.
Il est recommandé aux utilisateurs de mettre à jour vers la version 12.8.3 Correctif 2mais l’application du correctif nécessite Web Help Desk 12.8.3.1813 ou 12.8.3 HF1.
Cette divulgation intervient une semaine après que SolarWinds a décidé de résoudre une autre vulnérabilité critique dans le même logiciel qui pourrait être exploitée pour exécuter du code arbitraire (CVE-2024-28986, score CVSS : 9,8).
La faille est depuis lors activement exploitée dans la nature, selon l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), bien que la manière dont elle est exploitée dans les attaques du monde réel reste encore inconnue.
Des détails supplémentaires sur CVE-2024-28987 devraient être publiés le mois prochain, il est donc essentiel que les mises à jour soient installées en temps opportun pour atténuer les menaces potentielles.