SolarWinds ha publicado actualizaciones de seguridad para enfrentarse múltiples vulnerabilidades de seguridad que afectan a la mesa de ayuda web de SolarWinds, incluidas cuatro vulnerabilidades críticas que podrían provocar la omisión de autenticación y la ejecución remota de código (RCE).
La inventario de vulnerabilidades es la venidero:
- CVE-2025-40536 (Puntuación CVSS: 8,1): una vulnerabilidad de elusión del control de seguridad que podría permitir a un atacante no autenticado obtener acercamiento a determinadas funciones restringidas.
- CVE-2025-40537 (Puntuación CVSS: 7,5): una vulnerabilidad de credenciales codificadas que podría permitir el acercamiento a funciones administrativas utilizando la cuenta de usufructuario “cliente”.
- CVE-2025-40551 (Puntuación CVSS: 9,8): una vulnerabilidad de deserialización de datos no confiables que podría conducir a la ejecución remota de código, lo que permitiría a un atacante no autenticado ejecutar comandos en la máquina host.
- CVE-2025-40552 (Puntuación CVSS: 9,8): una vulnerabilidad de omisión de autenticación que podría permitir que un atacante no autenticado ejecute acciones y métodos.
- CVE-2025-40553 (Puntuación CVSS: 9,8): una vulnerabilidad de deserialización de datos no confiables que podría conducir a la ejecución remota de código, lo que permitiría a un atacante no autenticado ejecutar comandos en la máquina host.
- CVE-2025-40554 (Puntuación CVSS: 9,8): una vulnerabilidad de omisión de autenticación que podría permitir a un atacante invocar acciones específicas interiormente de Web Help Desk.
Mientras que a Jimi Sebree de Horizon3.ai se le atribuye el descubrimiento y el mensaje de las tres primeras vulnerabilidades, a Piotr Bazydlo de watchTowr se le atribuyen los tres fallos restantes. Todas las cuestiones se han abordado en WHD 2026.1.
“Tanto CVE-2025-40551 como CVE-2025-40553 son deserializaciones críticas de vulnerabilidades de datos no confiables que permiten a un atacante remoto no autenticado conquistar RCE en un sistema objetivo y ejecutar cargas aperos como la ejecución arbitraria de comandos del sistema activo”, dijo Rapid7.
“RCE a través de deserialización es un vector en gran medida confiable que los atacantes pueden rendir y, como estas vulnerabilidades se pueden explotar sin autenticación, el impacto de cualquiera de estas dos vulnerabilidades es significativo”.
Si adecuadamente CVE-2025-40552 y CVE-2025-40554 se han descrito como omisiones de autenticación, igualmente podrían aprovecharse para obtener RCE y conquistar el mismo impacto que las otras dos vulnerabilidades de deserialización de RCE, añadió la empresa de ciberseguridad.
En los últimos abriles, SolarWinds ha publicado correcciones para resolver varias fallas en su software Web Help Desk, incluidas CVE-2024-28986, CVE-2024-28987, CVE-2024-28988 y CVE-2025-26399. Vale la pena señalar que CVE-2025-26399 aborda una omisión de parche para CVE-2024-28988, que, a su vez, es una omisión de parche de CVE-2024-28986.
A finales de 2024, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2024-28986 y CVE-2024-28987 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
En una publicación que explica CVE-2025-40551, Sebree de Horizon3.ai lo describió como otra vulnerabilidad de deserialización derivada de la funcionalidad AjaxProxy que podría resultar en la ejecución remota de código. Para conquistar RCE, un atacante debe realizar la venidero serie de acciones:
- Establecer una sesión válida y extraer títulos secreto
- Crear un componente LoginPref
- Establecer el estado del componente LoginPref para permitirnos alcanzar a la carga del archivo
- Utilice el puente JSONRPC para crear algunos objetos Java maliciosos detrás de estampa
- Activa estos objetos Java maliciosos
Regalado que las fallas en la mesa de ayuda web se han utilizado como pertrechos en el pasado, es esencial que los clientes actúen rápidamente para modernizar a la última interpretación de la mesa de ayuda y la plataforma de dependencia de servicios de TI.
