漏洞背景

近日，嘉诚安全监测到SolarWinds Network Configuration Manager发布安全公告，修复了一个远程代码执行漏洞，漏洞编号为：CNNVD-202311-765(CVE-2023-40054)。

SolarWinds Network Configuration Manager是一款相当全面的网络设备配置变更与合规性管理系统，借助NCM，用户可以使用网络扫描和发现功能获取所有网络设备中的最新信息，以快速构建准确的网络设备的库存。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏为高危漏洞，是由于对URL过滤不严格导致的。攻击者可以利用该漏洞通过目录遍历来提升为SYSTEM权限，进而执行远程代码。

危害影响

影响版本

SolarWinds Network Configuration Manager <= 2023.4

修复建议

根据影响版本中的信息，建议相关用户尽快更新至安全版本：

SolarWinds Network Configuration Manager > 2023.4

官方链接：

https://www.solarwinds.com/zh/network-configuration-manager