Network Performance Monitor
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.94431
Распределение по критичности
Критический
1
Высокий
2
Средний
5
Низкий
0
Затронутые диапазоны версий
2020.2.1–2020.2.5≤ 12.0.15300.90≤ 12.3≤ 2020.2.6
Также сопоставлено как (исходные строки): network_performance_monitor,netpath,orion_platform
Топ уязвимостей
CVE-2021-31474Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках SolarWinds Network Performance Monitor 2020.2.1. Для эксплуатации этой уязвимости не требуется аутентификация. Конкретный недостаток существует в библиотеке SolarWinds.Serialization. Проблема возникает из-за отсутствия надлежащей проверки пользовательских данных, что может привести к десериализации ненадежных данных. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте SYSTEM. Была ZDI-CAN-12213.
CVE-2020-27869Эта уязвимость позволяет удаленным злоумышленникам повышать привилегии на затронутых установках SolarWinds Network Performance Monitor 2020 HF1, NPM: 2020.2. Для использования этой уязвимости требуется аутентификация. Конкретный недостаток существует в методе WriteToFile. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед использованием ее для создания SQL-запросов. Злоумышленник может использовать эту уязвимость для повышения привилегий и сброса пароля для пользователя Admin. Was ZDI-CAN-11804.
CVE-2018-13442SolarWinds Network Performance Monitor 12.3 допускает SQL-инъекцию через параметр TriggeringObjectEntityNames /api/ActiveAlertsOnThisEntity/GetActiveAlerts.
CVE-2021-35225Каждый аутентифицированный пользователь Orion Platform в среде MSP (Managed Service Provider) может просматривать все службы NetPath от всех клиентов этого MSP. Это может привести к тому, что любой пользователь будет иметь ограниченное представление об инфраструктуре других клиентов и потенциальному перекрестному загрязнению данных.
CVE-2019-12864SolarWinds Orion Platform 2018.4 HF3 (NPM 12.4, NetPath 1.1.4) уязвима для утечки информации из-за неправильной обработки ошибок со стековыми трассировками, как продемонстрировано обнаружением полного пути при внутренней ошибке сервера 500 через параметр запроса api2/swis/query?lang=en-us&swAlertOnError=false.
CVE-2017-9538Функция 'Upload logo from external path' SolarWinds Network Performance Monitor версии 12.0.15300.90 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (постоянное отображение сообщения об ошибке "Cannot exit above the top directory" во всем веб-приложении) через ".." в поле пути. Другими словами, отказ в обслуживании вызван некорректной реализацией механизма защиты от обхода каталогов.
CVE-2019-12863SolarWinds Orion Platform 2018.4 HF3 (NPM 12.4, NetPath 1.1.4) допускает хранение HTML-инъекций администраторами через экран настроек веб-консоли.
CVE-2017-9537Постоянный межсайтовый скриптинг (XSS) в функции Add Node SolarWinds Network Performance Monitor версии 12.0.15300.90 позволяет удаленным злоумышленникам внедрять произвольный JavaScript в различные уязвимые параметры.