在SolarWinds Orion 2020.2.1 HF 2 及 2019.4 HF 6之前的版本中，SolarWinds Orion API 嵌入在 Orion Core 中，被用于与所有 SolarWinds Orion Platform 产品进行接口。通过在URI请求的Request.PathInfo 部分中包含特定参数，可以绕过 API 身份验证，这可能允许攻击者执行未经身份验证的 API 命令。如果攻击者将WebResource.adx，scriptResource.adx，i18n.ashx 或 Skipi18n 的 PathInfo 参数附加到对 SolarWinds Orion 服务器的请求，SolarWinds 可能会设置 SkipAuthorization 标志，该标志可能允许处理API请求无需身份验证。

将 SolarWinds 软件升级至安全版本。 SolarWinds 为商业软件，可联系 swisupport@solarwinds.com 以获取进一步支持。