Path Traversal Lücke in SolarWinds Serv-U entdeckt
In SolarWinds Serv-U wurde eine Directory Traversal-Schwachstelle (CVE-2024-28995) entdeckt, die es Angreifern ermöglicht, auf sensible Dateien des Hostsystems zuzugreifen. Diese Schwachstelle wurde als kritisch mit einem CVSS-Score von 8.6 eingestuft. Betroffen sind SolarWinds Serv-U 15.4.2 HF 1 und frühere Versionen.
Die Schwachstelle nutzt fehlerhafte Validierungen von Dateipfaden aus, wodurch Angreifer über spezielle GET-Anfragen Dateien außerhalb des vorgesehenen Verzeichnisses lesen können. Diese Methode ermöglicht es, Dateien wie win.ini auf Windows-Hosts oder /etc/passwd auf Linux-Hosts zu extrahieren.
Nutzer sollten ihre Systeme umgehend aktualisieren, um die Sicherheitslücke zu schließen.