SolarWinds ha publicado actualizaciones de seguridad para abordar múltiples vulnerabilidades de seguridad que afectan a la mesa de ayuda web de SolarWinds, incluidas cuatro vulnerabilidades críticas que podrían provocar la omisión de autenticación y la ejecución remota de código (RCE).
La lista de vulnerabilidades es la siguiente:
- CVE-2025-40536 (Puntuación CVSS: 8,1): una vulnerabilidad de elusión del control de seguridad que podría permitir a un atacante no autenticado obtener acceso a determinadas funciones restringidas.
- CVE-2025-40537 (Puntuación CVSS: 7,5): una vulnerabilidad de credenciales codificadas que podría permitir el acceso a funciones administrativas utilizando la cuenta de usuario «cliente».
- CVE-2025-40551 (Puntuación CVSS: 9,8): una vulnerabilidad de deserialización de datos no confiables que podría conducir a la ejecución remota de código, lo que permitiría a un atacante no autenticado ejecutar comandos en la máquina host.
- CVE-2025-40552 (Puntuación CVSS: 9,8): una vulnerabilidad de omisión de autenticación que podría permitir que un atacante no autenticado ejecute acciones y métodos.
- CVE-2025-40553 (Puntuación CVSS: 9,8): una vulnerabilidad de deserialización de datos no confiables que podría conducir a la ejecución remota de código, lo que permitiría a un atacante no autenticado ejecutar comandos en la máquina host.
- CVE-2025-40554 (Puntuación CVSS: 9,8): una vulnerabilidad de omisión de autenticación que podría permitir a un atacante invocar acciones específicas dentro de Web Help Desk.
Mientras que a Jimi Sebree de Horizon3.ai se le atribuye el descubrimiento y el informe de las tres primeras vulnerabilidades, a Piotr Bazydlo de watchTowr se le atribuyen los tres fallos restantes. Todas las cuestiones se han abordado en WHD 2026.1.
«Tanto CVE-2025-40551 como CVE-2025-40553 son deserializaciones críticas de vulnerabilidades de datos no confiables que permiten a un atacante remoto no autenticado lograr RCE en un sistema objetivo y ejecutar cargas útiles como la ejecución arbitraria de comandos del sistema operativo», dijo Rapid7.
«RCE a través de deserialización es un vector altamente confiable que los atacantes pueden aprovechar y, como estas vulnerabilidades se pueden explotar sin autenticación, el impacto de cualquiera de estas dos vulnerabilidades es significativo».
Si bien CVE-2025-40552 y CVE-2025-40554 se han descrito como omisiones de autenticación, también podrían aprovecharse para obtener RCE y lograr el mismo impacto que las otras dos vulnerabilidades de deserialización de RCE, añadió la empresa de ciberseguridad.
En los últimos años, SolarWinds ha publicado correcciones para resolver varias fallas en su software Web Help Desk, incluidas CVE-2024-28986, CVE-2024-28987, CVE-2024-28988 y CVE-2025-26399. Vale la pena señalar que CVE-2025-26399 aborda una omisión de parche para CVE-2024-28988, que, a su vez, es una omisión de parche de CVE-2024-28986.
A finales de 2024, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2024-28986 y CVE-2024-28987 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
En una publicación que explica CVE-2025-40551, Sebree de Horizon3.ai lo describió como otra vulnerabilidad de deserialización derivada de la funcionalidad AjaxProxy que podría resultar en la ejecución remota de código. Para lograr RCE, un atacante debe realizar la siguiente serie de acciones:
- Establecer una sesión válida y extraer valores clave
- Crear un componente LoginPref
- Establecer el estado del componente LoginPref para permitirnos acceder a la carga del archivo
- Utilice el puente JSONRPC para crear algunos objetos Java maliciosos detrás de escena
- Activa estos objetos Java maliciosos
Dado que las fallas en la mesa de ayuda web se han utilizado como arma en el pasado, es esencial que los clientes actúen rápidamente para actualizar a la última versión de la mesa de ayuda y la plataforma de administración de servicios de TI.