Solarwinds Web Help Desk: Software-Update schließt kritische Lücken
In Solarwinds Web Help Desk haben die Entwickler teils kritische Sicherheitslücken korrigiert. IT-Verantwortliche sollten rasch aktualisieren.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Solarwinds hat die Version 12.8.4 der Web Help Desk-Software veröffentlicht. Darin schließt der Hersteller eine Schwachstelle in der eigentlichen Software – und stopft auch teilweise kritische Sicherheitslücken in mitgelieferten Komponenten von Drittanbietern. IT-Verantwortliche sollten die Aktualisierung zügig anwenden.
In den Release-Notes zur neuen Web Help Desk-Version listet Solarwinds die geschlossenen Sicherheitslecks auf. Die Entwickler haben eine Lücke in Web Help Desk selbst korrigiert, durch die Dateien ausgelesen werden können, sofern die Software unter Linux und zudem in dem nicht standardmäßigen aktivierten Entwicklungs- oder Test-Modus läuft (CVE-2024-45709, CVSS 5.3, Risiko "mittel").
Web Help Desk: Problematische Dritthersteller-Komponenten
Die mitgelieferten Dritthersteller-Komponenten sind hingegen wesentlich problematischer: In Apache Tomcat klafft eine Sicherheitslücke, durch die Angreifer unter Umständen die Authentifizierung umgehen und so unbefugt Zugriff erhalten können (CVE-2024-52316, CVSS 9.8, kritisch). DOMPurify soll vor Cross-Site-Scripting schützen, ist jedoch selbst etwa für "mutated Cross-Site-Scripting" (mXSS) anfällig (CVE-2024-47875, CVSS 9.8, kritisch), enthält eine Prototype-Pollution-Schwachstelle (CVE-2024-48910, CVSS 9.1, kritisch) und ist für eine weitere hochriskante (CVE-2024-45801, CVSS 7.3, hoch) sowie eine mittelschwere Cross-Site-Scripting-Lücke verwundbar (CVE-2020-26870, CVSS 6.1, mittel).
Die aktualisierte Fassung 12.8.4 steht auf der Solarwinds-Webseite oder im Kundenportal von Solarwinds zum Herunterladen bereit.
Die Web Help Desk-Software von Solarwinds steht auch auf der Liste von Cyberkriminellen. Mitte Oktober hatte die US-amerikanische IT-Sicherheitsbehörde CISA vor aktiven Angriffen auf eine kritische Sicherheitslücke in Web Help Desk gewarnt, die der Hersteller mit Updates im August ausgebessert hatte. Daher sollten Admins nicht lange zögern, sondern die Softwareaktualisierung zeitnah anwenden.
(dmk)