SolarWinds Access Rights Manager (ARM) 删除TransferFile目录的路径遍历，导致任意文件删除和信息泄露漏洞

该目录遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞读取、修改甚至删除系统上的敏感文件，例如配置文件、数据库备份和用户数据。这可能导致数据泄露、身份盗窃、服务中断以及对系统完整性的破坏。攻击者还可以利用此漏洞作为跳板，进一步渗透到网络中，进行横向移动，并访问其他敏感资源。由于SolarWinds Access Rights Manager通常用于管理用户权限和访问控制，因此该漏洞的利用可能导致对整个网络的安全风险。

Organizations heavily reliant on SolarWinds Access Rights Manager for access control and privilege management are particularly at risk. Environments with legacy configurations or those using shared hosting models where file system access is less controlled are also more vulnerable. Any deployment utilizing older, unpatched versions of Access Rights Manager (≤2023.2.4) is directly exposed to this vulnerability.

• windows / supply-chain:

Get-ChildItem -Path "C:\Program Files\SolarWinds\Access Rights Manager\*" -Recurse | Where-Object {$_.FullName -match '\\'} | Select-Object FullName

• windows / supply-chain:

Get-WinEvent -LogName Security -Filter "EventID=4663" -MaxEvents 100 | Select-String -Pattern "C:\Program Files\SolarWinds\Access Rights Manager"

• generic web:

curl -I http://<target>/../../../../etc/passwd

• generic web:

 grep "Access Rights Manager" /var/log/apache2/access.log

1. 2024-07-17Disclosure

   disclosure

1. 已保留2024-01-17
2. 发布日期2024-07-17
3. 修改日期2024-08-01
4. EPSS 更新日期2026-04-02

缓解此漏洞的首要措施是立即升级到SolarWinds Access Rights Manager 2024.3版本或更高版本。如果无法立即升级，可以考虑实施以下临时缓解措施：限制对Access Rights Manager服务的网络访问，仅允许授权用户访问。实施严格的输入验证和过滤，以防止恶意请求。监控Access Rights Manager的日志文件，以检测可疑活动。如果升级导致系统不稳定，请考虑回滚到之前的稳定版本，并尽快安排升级。使用Web应用防火墙（WAF）可以帮助阻止恶意请求。