JVNDB-2020-010253
|
SolarWinds Orion API に認証回避の脆弱性
|
|
SolarWinds Orion API には、認証回避の脆弱性が存在します。
SolarWinds Orion Platform は、インフラストラクチャの監視および管理のためのプラットフォームです。
SolarWinds Orion Platform 製品に実装されている API 処理機能には URL パラメタの処理に問題があり、細工されたリクエスト URL を受け取ると認証をスキップして処理してしまう可能性があります。
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
SolarWinds
- Orion Platform 2019.4 HF 6 より前のバージョン
- Orion Platform 2020.2.1 HF 2 より前のバージョン
- Orion Platform 2019.2 SUPERNOVA Patch より前のバージョン
- Orion Platform 2018.4 SUPERNOVA Patch より前のバージョン
- Orion Platform 2018.2 SUPERNOVA Patch より前のバージョン
|
|
|
細工されたリクエスト URL を処理することで、認証なしで任意の API コマンドを実行される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、以下のバージョンにアップデートしてください。
* 2019.4 HF 6
* 2020.2.1 HF 2
* 2019.2 SUPERNOVA Patch
* 2018.4 SUPERNOVA Patch
* 2018.2 SUPERNOVA Patch
[ワークアラウンドを実施する]
アップデートを適用するまでの回避策として、当該製品が動作する IIS サーバの設定変更に関する情報が提供されています。
詳しくは Security Advisory を参照してください。
|
|
SolarWinds
|
|
- 不適切な認証(CWE-287) [NVD評価]
|
|
- CVE-2020-10148
|
|
- JVN : JVNVU#94395061
- National Vulnerability Database (NVD) : CVE-2020-10148
- US-CERT Vulnerability Note : VU#843464
|
|
|
