SolarWinds Serv-U 多个严重漏洞可用于提供服务器root权限

📅 发布时间:2026/7/13 9:01:24 👁️ 浏览次数:
SolarWinds Serv-U 多个严重漏洞可用于提供服务器root权限
聚焦源代码安全网罗国内外最新资讯编译代码卫士SolarWinds公司修复了位于 Serv-U 中四个严重的代码执行漏洞可导致攻击者获得未修复服务器的 root 访问权限。Serv-U 是 SolarWinds 公司的自托管 Windows 和 Linux 文件传输软件同时具有 MFT 和 FTP 服务器能力可使组织机构通过 FTP、FTPS、SFTP和HTTP/S 以安全的方式传输文件。在这四个漏洞中最严重的是CVE-2025-40538可导致具有高权限的攻击者在易受攻击服务器上获得 root 或者管理员权限。SolarWinds 公司在周二的安全公告中提到“Serv-U 中存在访问控制失败漏洞如遭利用可导致攻击者创建一个系统管理员用户并通过域管理员或分组管理员权限执行任意代码。”该公司还修复了两个类型混淆漏洞和一个不安全的直接对象引用漏洞它们可被通过 root 权限获得代码执行能力。幸运的是所有这四个漏洞都要求攻击者已经在目标服务器上具有较高权限从而限制潜在的利用尝试攻击者可组合利用多个提权漏洞或者使用此前被盗的管理员凭据。Shodan 目前追踪到超过1.2万台暴露在互联网的 Serv-U 服务器而 Shadowserver 预计少于1200台。SolarWinds Serv-U 这类文件传输软件常遭攻击因为它们可用于轻松访问可能含有敏感的企业和客户数据的文档。此前Serv-U 中的漏洞就曾用于数据盗取等攻击中。目前CISA 正在追踪已遭或正遭在野活跃利用的九个 SolarWinds 漏洞。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读SolarWinds 修复四个严重漏洞可导致未认证RCE和认证绕过SolarWinds 第三次修复 Web Help Desk RCE漏洞SolarWinds 修复 Web Help Desk 中的硬编码凭据漏洞SolarWinds Web Help Desk是 0day时或已遭利用SolarWinds 修复访问权限审计软件中的8个严重漏洞原文链接https://www.bleepingcomputer.com/news/security/critical-solarwinds-serv-u-flaws-offer-root-access-to-servers/题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~