漏洞概述 SolarWinds Database Performance Analyzer (DPA) 2026.2 版本中存在多个安全漏洞,包括 SolarWinds 自身产品的漏洞和第三方组件的漏洞。 影响范围 SolarWinds CVEs CVE-2026-28322: SolarWinds Database Performance Analyzer 存储的跨站脚本漏洞。该漏洞允许攻击者通过存储的跨站脚本漏洞执行恶意脚本,可能导致未授权脚本执行。 第三方 CVEs CVE-2026-34487: Apache Tomcat 云成员资格集群组件中的敏感信息插入日志文件漏洞。该漏洞影响 Apache Tomcat 从 11.0.0-M1 到 11.0.20 以及从 10.1.0-M1 到 10.1.53 的版本。 CVE-2026-43515: Apache Tomcat 不当授权漏洞。该漏洞影响 Apache Tomcat 从 11.0.0-M1 到 11.0.21、从 10.1.0-M1 到 10.1.54、从 9.0.0.M1 到 9.0.117、从 8.5.0 到 8.5.100、从 7.0.0 到 7.0.109 的版本。 CVE-2025-53864: Connect2Id Nimbus JOSE + JWT 服务漏洞。该漏洞影响 Connect2Id Nimbus JOSE + JWT 10.0 之前版本和 9.37.x 之前版本。 CVE-2025-52999: Jackson-core 栈溢出漏洞。该漏洞影响 Jackson-core 2.15.0 及更高版本。 修复方案 SolarWinds CVEs CVE-2026-28322: 升级到最新版本的 SolarWinds Database Performance Analyzer。 第三方 CVEs CVE-2026-34487: 升级到 Apache Tomcat 11.0.21、10.1.54 或 9.0.117 版本。 CVE-2026-43515: 升级到 Apache Tomcat 11.0.21、10.1.54、9.0.117、8.5.100 或 7.0.109 版本。 CVE-2025-53864: 升级到 Connect2Id Nimbus JOSE + JWT 10.0.2 或 9.37.x 版本。 CVE-2025-52999: 升级到 Jackson-core 2.15.0 或更高版本,并避免解析来自不受信任来源的 JSON 输入文件。 代码块 页面中未包含具体的 POC 代码或利用代码。