SolarWinds a laissé des identifiants codés en dur dans son produit Web Help Desk qui peuvent être utilisés par des attaquants distants et non authentifiés pour se connecter à des instances vulnérables, accéder à des fonctionnalités internes et modifier des données sensibles. Le fabricant de logiciels a maintenant publié une mise à jour pour corriger cette lacune critique ; ses utilisateurs sont encouragés à installer le correctif, qui supprime probablement les identifiants intégrés. Cette erreur de sécurité, référencée sous le CVE-2024-28987, a reçu une cote de gravité CVSS de 9.1 sur 10. Elle affecte Web Help Desk 12.8.3 HF1 et toutes les versions précédentes, et a été corrigée dans la version 12.8.3 HF2. Le correctif, publié hier, doit être installé manuellement. WHD est le logiciel de gestion des tickets d’assistance informatique et des actifs de SolarWinds, et son site Web vante des témoignages de clients des secteurs gouvernemental, éducatif, de la santé, des organismes à but non lucratif et des télécommunications. Étant donné la gravité de l’erreur, la base de clients de SolarWinds dans les secteurs gouvernementaux et professionnels, et le fait que la faille est due à des identifiants codés en dur, nous soupçonnons que les criminels cherchent déjà des systèmes à risque qui sont au moins accessibles depuis Internet public. Il est donc judicieux de donner la priorité à cette correction dès que possible avant de nous retrouver avec un autre cas, eh bien, SolarWinds entre les mains.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du