Origine : bjCSIRT
Numéro : 2024/ALERTE/038
Date de l’alerte : 14/06/2024
APERÇU :
SolarWinds Serv-U est affecté par une vulnérabilité de type Directory Traversal permettant à un attaquant non authentifié d’accéder à des fichiers sensibles sur la machine hôte
DESCRIPTION :
SolarWinds Serv-U est un logiciel de transfert de fichiers qui permet aux utilisateurs de transférer des fichiers de manière sécurisée et efficace sur Windows et Linux.
La vulnérabilité, libellée CVE-2024-28995, permettrait à un attaquant non authentifié d’accéder de manière non autorisée à des répertoires et fichiers situés en dehors des répertoires prévus du serveur. Cette vulnérabilité de type Directory Traversal résulte d’une validation incorrecte des chemins fournis par les utilisateurs.
Cette vulnérabilité est classée élevée avec un score CVSS de sévérité 7.5.
IMPACT :
- Accès non autorisé aux fichiers sensibles
- Fuite de données
- Violation de confidentialité
SYSTÈMES AFFECTÉS :
Toutes les versions de SolarWinds Serv-U antérieures à la version 15.4.2 Hotfix 2.
MESURES À PRENDRE :
Mettre à jour SolarWinds Serv-U vers la version 15.4.2 Hotfix 2 ou ultérieure.
RÉFÉRENCES :