Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en SolarWinds Access Rights Manager

Fecha de publicación 19/02/2024
Identificador
INCIBE-2024-0086
Importancia
5 - Crítica
Recursos Afectados

ARM, versiones 2023.2.2 y anteriores.

Descripción

Zero Day Initiative, de Trend Micro, en colaboración con un investigador anónimo, han reportado 3 vulnerabilidades de severidad crítica que afectan al producto de control de accesos Access Rights Manager (ARM), del fabricante SolarWinds.

Solución

Actualizar ARM a la versión 2023.2.3.

Detalle

Un atacante remoto podría explotar estas 3 vulnerabilidades críticas para ejecutar código, aprovechando fallos en la deserialización de datos no confiables o la limitación incorrecta de una ruta a un directorio restringido (directory traversal). Se han asignado los identificadores CVE-2023-40057, CVE-2024-23476 y CVE-2024-23479 para estas vulnerabilidades.

Listado de referencias
SolarWinds Access Rights Manager (ARM) Deserialization of Untrusted Data Remote Code Execution Vulnerability (CVE-2023-40057)
SolarWinds Access Rights Manager (ARM) Directory Traversal Remote Code Execution Vulnerability (CVE-2024-23476)
SolarWinds Access Rights Manager (ARM) Traversal Remote Code Execution Vulnerability (CVE-2024-23479)
Etiquetas