| Title | SolarWinds Orion Platform におけるハードコードされた認証情報の使用に関する脆弱性 |
|---|---|
| Summary | SolarWinds Orion Platform には、ハードコードされた認証情報の使用に関する脆弱性が存在します。 |
| Possible impacts | 情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Jan. 25, 2021, midnight |
| Registration Date | Oct. 20, 2021, 4:33 p.m. |
| Last Update | Oct. 20, 2021, 4:33 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.8 |
|---|---|
| Vector | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVSS2.0 : 注意 | |
| Score | 2.1 |
|---|---|
| Vector | AV:L/AC:L/Au:N/C:P/I:N/A:N |
| SolarWinds |
| Orion Platform 2020.2.4 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2021年10月20日] 掲載 |
Oct. 20, 2021, 4:33 p.m. |
| Summary | SolarWinds Orion Platform before 2020.2.4, as used by various SolarWinds products, installs and uses a SQL Server backend, and stores database credentials to access this backend in a file readable by unprivileged users. As a result, any user having access to the filesystem can read database login details from that file, including the login name and its associated password. Then, the credentials can be used to get database owner access to the SWNetPerfMon.DB database. This gives access to the data collected by SolarWinds applications, and leads to admin access to the applications by inserting or changing authentication data stored in the Accounts table of the database. |
|---|---|
| Publication Date | Feb. 4, 2021, 2:15 a.m. |
| Registration Date | Feb. 4, 2021, 10:02 a.m. |
| Last Update | Nov. 21, 2024, 2:54 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:solarwinds:orion_platform:*:*:*:*:*:*:*:* | 2020.2.4 | ||||