CVE-2023-33229
NiskieCVSS 3.5Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 51 — wyżej niż 51% wszystkich znanych CVE
Streszczenie
Platforma SolarWinds była podatna na lukę związaną z nieprawidłową neutralizacją danych wejściowych. Luka ta umożliwia zdalnemu przeciwnikowi posiadającemu ważne konto na platformie SolarWinds dołączenie parametrów URL w celu wstrzyknięcia pasywnego HTML.
Ocena ryzyka
Zagrożenie to może prowadzić do ataków typu XSS, co może skutkować kradzieżą danych lub przejęciem sesji użytkowników. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do ich systemów.
Rekomendacja
Zaleca się aktualizację platformy SolarWinds do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów zabezpieczających, aby zminimalizować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
The SolarWinds Platform was susceptible to the Incorrect Input Neutralization Vulnerability. This vulnerability allows a remote adversary with a valid SolarWinds Platform account to append URL parameters to inject passive HTML.

