AVIS CERTFR - 2020 - AVI - 845

AVIS CERT

CERT-FR

Publié le 28 décembre 2020 à 20h51

Objet : Vulnérabilité dans SolarWinds Orion API

Référence : CERTFR-2020-AVI-845

Risque(s)

- Exécution de code arbitraire à distance

Systèmes affectés

- SolarWinds Orion API version 2020.2.1 sans le correctif HF 2 (publié le 15 Décembre 2020)
- SolarWinds Orion API version 2019.4 sans le correctif HF 6 (publié le 14 Décembre 2020)
- SolarWinds Orion API version 2019.2 sans le correctif SUPERNOVA Patch (publié le 23 Décembre 2020)
- SolarWinds Orion API version 2018.4 sans le correctif SUPERNOVA Patch (publié le 23 Décembre 2020)
- SolarWinds Orion API version 2018.2 sans le correctif SUPERNOVA Patch (publié le 23 Décembre 2020)

Résumé

Une vulnérabilité a été découverte dans l'API Orion de SolarWinds. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SolarWinds 843464 du 26 décembre 2020

https://kb.cert.org/vuls/id/843464

- Référence CVE CVE-2020-10148

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10148

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-845/