SolarWinds ha lanzado una actualización de seguridad que aborda múltiples vulnerabilidades de seguridad que afectan la mesa de ayuda web de SolarWinds, incluidas cuatro vulnerabilidades críticas que podrían provocar la omisión de autenticación y la ejecución remota de código (RCE).
Aquí está la lista de vulnerabilidades:
CVE-2025-40536 (Puntuación CVSS: 8,1): vulnerabilidad de omisión del control de seguridad que permite a atacantes no autenticados acceder a determinadas funciones restringidas. CVE-2025-40537 (Puntuación CVSS: 7,5): Vulnerabilidad de credenciales codificadas que permite el acceso a funciones administrativas utilizando la cuenta de usuario «Cliente». CVE-2025-40551 (Puntuación CVSS: 9,8): datos no confiables Vulnerabilidad de deserialización que podría conducir a la ejecución remota de código. Esto podría permitir que un atacante no autenticado ejecute comandos en la máquina host. CVE-2025-40552 (puntuación CVSS: 9,8): vulnerabilidad de omisión de autenticación que podría permitir que un atacante no autenticado ejecute acciones o métodos. CVE-2025-40553 (puntuación CVSS: 9,8): vulnerabilidad de deserialización de datos no confiables. Esto puede conducir a la ejecución remota de código, lo que permite que un atacante no autenticado ejecute comandos en la máquina host. CVE-2025-40554 (puntuación CVSS: 9,8): vulnerabilidad de omisión de autenticación. Un atacante podría potencialmente invocar ciertas acciones dentro de la mesa de ayuda web.
A Jimi Sebree de Horizon3.ai se le atribuye el descubrimiento y el informe de las tres primeras vulnerabilidades, mientras que a Piotr Bazydlo de watchTowr se le atribuyen las tres fallas restantes. Todos los problemas se han resuelto en WHD 2026.1.
«CVE-2025-40551 y CVE-2025-40553 son deserializaciones críticas de vulnerabilidades de datos no confiables que permiten a un atacante remoto y no autenticado lograr RCE en un sistema objetivo y ejecutar cargas útiles, como ejecutar comandos arbitrarios del sistema operativo», dijo Rapid7.
«El impacto de cualquiera de estas dos vulnerabilidades es significativo porque RCE con deserialización es un vector confiable disponible para los atacantes y estas vulnerabilidades pueden explotarse sin autenticación».
Aunque CVE-2025-40552 y CVE-2025-40554 se describen como omisiones de autenticación, también pueden usarse para obtener RCE y tienen el mismo impacto que las otras dos vulnerabilidades de deserialización de RCE, agregó la firma de ciberseguridad.
En los últimos años, SolarWinds ha publicado correcciones que resuelven varias fallas en su software de mesa de ayuda web, incluidas CVE-2024-28986, CVE-2024-28987, CVE-2024-28988 y CVE-2025-26399. Tenga en cuenta que CVE-2025-26399 aborda una omisión de parche para CVE-2024-28988, que es una omisión de parche para CVE-2024-28986.
A finales de 2024, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2024-28986 y CVE-2024-28987 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
En una publicación que describe CVE-2025-40551, Sebree de Horizon3.ai lo describió como otra vulnerabilidad de deserialización en la funcionalidad AjaxProxy que podría conducir a la ejecución remota de código. Para lograr RCE, un atacante debe realizar la siguiente secuencia de acciones:
Cree un componente LoginPref que establezca una sesión válida y extraiga un valor clave. Establezca el estado del componente LoginPref para permitir el acceso a la carga de archivos. Crea objetos Java maliciosos en segundo plano utilizando el puente JSONRPC. Activa estos objetos Java maliciosos.
Las fallas de la mesa de ayuda web se han utilizado como arma en el pasado, por lo que es importante que los clientes actualicen rápidamente a las últimas versiones de su mesa de ayuda y de sus plataformas de administración de servicios de TI.
Source link
