SolarWinds 在其 Web Help Desk （WHD） 软件中修复了一个硬编码凭据缺陷，该漏洞可能允许攻击者未经授权访问易受攻击的实例。

SolarWinds 解决了其 Web Help Desk （WHD） 软件中的一个新安全漏洞，该漏洞被跟踪为 CVE-2024-28987（CVSS 评分为 9.1），该漏洞可能允许未经身份验证的远程攻击者未经授权访问易受攻击的实例。

SolarWinds 将 WHD 描述为一种经济实惠的帮助台票务和资产管理软件，被大型企业和政府组织广泛使用。

“SolarWinds Web Help Desk （WHD） 软件受到硬编码凭据漏洞的影响，允许未经身份验证的远程用户访问内部功能并修改数据。”

此问题会影响 WHD 12.8.3 HF1 和所有先前版本，已在版本 12.8.3 HF2 中得到解决。

该漏洞是由 Horizon3.ai 的安全研究员 Zach Hanley 发现的。

上周，美国网络安全和基础设施安全局 （CISA） 在其已知利用漏洞 （KEV） 目录中添加了另一个 SolarWinds Web Help Desk 对不受信任数据漏洞的反序列化，该漏洞被跟踪为 CVE-2024-28986（CVSS 评分为 9.8）。

该漏洞是一个 Java 反序列化问题，攻击者可利用该问题在易受攻击的主机上运行命令，从而导致远程代码执行。