Serv-U

Die Schwachstelle betrifft SolarWinds Serv-U, eine Server-Software für Dateiübertragungen. Es handelt sich um eine Path-Traversal-Lücke (auch Directory-Traversal genannt): Über manipulierte Pfadangaben kann ein Angreifer aus dem eigentlich vorgesehenen Verzeichnisbereich ausbrechen und auf Dateien außerhalb davon zugreifen. Dadurch lassen sich vertrauliche Dateien auf dem Host-System lesen, auf dem die Software läuft – also Inhalte, die normalerweise nicht über den Dateidienst zugänglich sein sollten. Solche ausgelesenen Informationen können etwa Konfigurationsdaten oder Zugangsdaten enthalten und einem Angreifer als Grundlage für weiterführende Angriffe dienen. Da Serv-U typischerweise als von außen erreichbarer Dienst für den Dateiaustausch betrieben wird, ist die verwundbare Komponente oft direkt exponiert und bildet einen leicht erreichbaren Angriffspunkt für den unbefugten Lesezugriff auf das darunterliegende System.