StarWind est un logiciel qui tourne sous Windows Server. Il permet de faire de la haute disponibilite et de transformer un windows server en cible ISCI.
Sur leur site un bandeau vante le fait qu’il ne soit pas sensible à la faille log4j …
Pas de bol pour eux, il sont par contre ciblés par deux failles CVE critiques.
- CVE-2022-24552
- CVE-2022-24552
Les versions qui répondent aux failles sont < 0.2 build 1685
Une première faille permet de reset le password des utilisateurs, quand à la seconde elle permet d’exécuter du code via une commande dans la gestion des disques virtuels.
Je voulais étudier un peu plus ces failles mais pour le moment le site de StarWind ne répond plus …
