Database Performance Analyzer
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.09084
Распределение по критичности
Критический
0
Высокий
2
Средний
8
Низкий
0
Затронутые диапазоны версий
< 2022.2< 2023.2< 2023.2.100< 2025.3≤ 2022.4
Также сопоставлено как (исходные строки): database_performance_analyzer,database_performance_monitor
Топ уязвимостей
CVE-2023-23837Уязвимость отсутствия обработки исключений, которая раскрывала конфиденциальную или избыточную информацию пользователям.
CVE-2022-38112В DPA 2022.4 и более старых версиях сгенерированные дампы памяти кучи содержат конфиденциальную информацию в открытом виде.
CVE-2023-23838Уязвимость обхода каталогов и перечисления файлов, которая позволяла пользователям перечислять различные папки сервера.
CVE-2025-26398В SolarWinds Database Performance Analyzer обнаружена уязвимость, связанная с использованием жестко закодированного криптографического ключа. Если она будет эксплуатирована, эта уязвимость может привести к атаке типа 'человек посередине' (MITM) против пользователей. Эта уязвимость требует дополнительного программного обеспечения, не установленного по умолчанию, локального доступа к серверу и привилегий администратора на хосте. Дополнительную информацию можно найти в источниках [1] и [2].
Источники:
- [1] https://www.solarwinds.com/trust-center/security-advisories/CVE-2025-26398
- [2] https://documentation.solarwinds.com/en/success_center/dpa/content/release_notes/dpa_2025-3_release_notes.htm
CVE-2023-33231XSS-атака была возможна в DPA 2023.2 из-за недостаточной проверки ввода.
CVE-2021-35229Уязвимость межсайтового скриптинга присутствует в Database Performance Monitor 2022.1.7779 и предыдущих версиях при использовании сложного SQL-запроса.
CVE-2018-19386SolarWinds Database Performance Analyzer 11.1.457 содержит экземпляр отраженного XSS в своем компоненте idcStateError, где параметр page отражается в HREF кнопки «Повторить попытку» на странице, также известной как URI /iwc/idcStateError.iwc?page=.
CVE-2022-38110В Database Performance Analyzer (DPA) 2022.4 и более старых версиях определенные векторы URL-адресов подвержены отраженному межсайтовому скриптингу с аутентификацией.
CVE-2018-16243SolarWinds Database Performance Analyzer (DPA) 11.1.468 и 12.0.3074 имеют несколько постоянных уязвимостей XSS, связанных с logViewer.iwc, centralManage.cen, userAdministration.iwc, database.iwc, alertManagement.iwc, eventAnnotations.iwc и central.cen.
CVE-2021-35228Эта уязвимость возникла из-за отсутствия очистки входных данных для одного из выходных полей, извлеченных из заголовков в определенном разделе страницы, что привело к отраженной межсайтовой атаке. Злоумышленнику необходимо выполнить атаку Man in the Middle, чтобы изменить заголовок для удаленной жертвы.