1. 通知信息内容

近日，安识高新科技A-Team精英团队检测发觉SolarWinds公布了安全性公示。公布了其商品中存有一处远程代码执行漏洞。该漏洞序号为CVE-2020-10148，漏洞级别：高风险，漏洞得分：9.8。

依据安全性公示表明，用以与全部别的Orion系统软件开展监控和管理方法商品插口的SolarWinds Orion API存有漏洞，该漏洞可容许远程攻击者绕开身份验证，实行没经身份验证的API命令，进而导致远程代码执行，风险性巨大。对于此事，安识高新科技精英团队提议众多客户尽早将SolarWinds Orion服务平台升級至全新版本。此外，请搞好财产自纠自查及其防止工作中，以防遭到黑客入侵。

2. 漏洞简述

SolarWindsOrion API置入在Orion Core中，被用以与全部SolarWinds Orion Platform商品开展插口。根据在URI要求的Request.PathInfo一部分中包括特殊主要参数，能够绕开API身份验证，这很有可能容许攻击者实行没经身份验证的API指令。假如攻击者将WebResource.adx，ScriptResource.adx，i18n.ashx或Skipi18n的PathInfo主要参数额外到对SolarWinds Orion网络服务器的要求，SolarWinds很有可能会设定SkipAuthorization标示，该标示很有可能容许解决API要求不用身份验证。

3. 漏洞伤害

攻击者可运用该漏洞远程实行随意编码，并得到该网络服务器操纵管理权限。该漏洞伤害很大，存有比较严重的安全风险。

4. 危害版本

漏洞危害的商品版本包含：

2020.2.1 HF2 及 2019.4 HF 6以前的版本

5. 解决方法

安识高新科技提议众多客户立即升级SolarWinds Orion服务平台版本：

6. 时间线

【-】2020年12月26日 SolarWinds Orion服务平台公布安全性公示

【-】2020年12月29日 安识高新科技A-Team精英团队依据官方网站公示剖析

【-】2020年12月29日 安识高新科技A-Team精英团队公布安全性通知