2024年6月17日,网上更新披露了一个SolarWinds Serv-U 目录遍历漏洞(CVE-2024-28995),Serv-U FTP Server 是一款文件传输协议(FTP)服务器软件,它允许用户设置和管理 FTP 服务,请各位用户尽快安装漏洞补丁。
漏洞风险:在15.4.2 HF 1版本之前,SolarWinds Serv-U存在目录遍历漏洞,远程攻击者可以在未授权的情况下通过InternalDir和InternalFile参数读取远程目标系统上的任意文件,从而造成敏感信息泄漏,获取系统权限。
风险等级:高风险。
影响范围:
serv-u@(-∞, 15.4.2)
修复建议:
将组件 serv-u 升级至 15.4.2 及以上版本
进行安全更新方法:
https://support.solarwinds.com/SuccessCenter/s/article/Serv-U-15-4-2-Hotfix-2-Release-Notes
