SolarWinds tiene publicado actualizaciones de seguridad para abordar múltiples vulnerabilidades de seguridad que afectan a SolarWinds Web Help Desk, incluidas cuatro vulnerabilidades críticas que podrían provocar la omisión de la autenticación y la ejecución remota de código (RCE).

La lista de vulnerabilidades es la siguiente -

  • CVE-2025-40536 (Puntuación CVSS: 8.1): una vulnerabilidad de elusión del control de seguridad que podría permitir a un atacante no autenticado acceder a determinadas funciones restringidas
  • CVE-2025-40537 (Puntuación CVSS: 7,5): una vulnerabilidad de credenciales codificadas de forma rígida que podría permitir el acceso a las funciones administrativas mediante la cuenta de usuario «cliente»
  • CVE-2025-40551 (Puntuación CVSS: 9,8): una vulnerabilidad de deserialización de datos no confiable que podría provocar la ejecución remota de código, lo que permitiría a un atacante no autenticado ejecutar comandos en la máquina host
  • CVE-2025-40552 (Puntuación CVSS: 9,8): una vulnerabilidad de elusión de la autenticación que podría permitir a un atacante no autenticado ejecutar acciones y métodos
  • CVE-2025-40553 (Puntuación CVSS: 9,8): una vulnerabilidad de deserialización de datos no confiable que podría provocar la ejecución remota de código, lo que permitiría a un atacante no autenticado ejecutar comandos en la máquina host
  • CVE-2025-40554 (Puntuación CVSS: 9,8): una vulnerabilidad para eludir la autenticación que podría permitir a un atacante invocar acciones específicas en Web Help Desk

Si bien a Jimi Sebree, de Horizon3.ai, se le ha atribuido el mérito de descubrir y denunciar las tres primeras vulnerabilidades, Piotr Bazydlo, de WatchTowr, ha sido reconocido por las tres fallas restantes. Todos los problemas se han abordado en WHD 2026.1 .

«Tanto el CVE-2025-40551 como el CVE-2025-40553 representan una deserialización fundamental de las vulnerabilidades de datos que no son de confianza que permiten a un atacante remoto no autenticado lograr el RCE en un sistema objetivo y ejecutar cargas útiles, como la ejecución arbitraria de comandos del sistema operativo», Rapid7 dijo .

«El RCE mediante la deserialización es un vector muy fiable que los atacantes pueden aprovechar y, dado que estas vulnerabilidades se pueden explotar sin autenticación, el impacto de cualquiera de estas dos vulnerabilidades es significativo».

Si bien el CVE-2025-40552 y el CVE-2025-40554 se han descrito como omisiones de autenticación, también podrían aprovecharse para obtener RCE y lograr el mismo impacto que las otras dos vulnerabilidades de deserialización del RCE, añadió la empresa de ciberseguridad.

En los últimos años, SolarWinds ha publicado correcciones para resolver varias fallas en su software de mesa de ayuda web, entre ellas CVE-2024-28986 , CVE-2024-28987 , CVE-2024-28988 y CVE-2025-26399 . Vale la pena señalar que el CVE-2025-26399 soluciona una omisión de parches para el CVE-2024-28988, que, a su vez, es un parche bypass de CVE-2024-28986.

A finales de 2024, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) adicional CVE-2024-28986 y CVE-2024-28987 a su catálogo de vulnerabilidades explotadas conocidas (KEV), en las que se citan pruebas de explotación activa.

En una publicación que explica el CVE-2025-40551, Sebree de Horizon3.ai descrito tiene otra vulnerabilidad de deserialización derivada de la funcionalidad AjaxProxy que podría provocar la ejecución remota de código. Para lograr el RCE, un atacante debe llevar a cabo la siguiente serie de acciones:

  • Establezca una sesión válida y extraiga los valores clave
  • Crear un componente LoginPref
  • Establece el estado del componente LoginPref para que podamos acceder a la carga del archivo
  • Utilice el puente JSON/RPC para crear algunos objetos Java maliciosos entre bastidores.
  • Activa estos objetos Java maliciosos

Dado que las fallas del servicio de ayuda web se han convertido en armas en el pasado, es esencial que los clientes se muevan rápidamente para actualizar a la última versión de la plataforma de administración de servicios de TI y de mesa de ayuda.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.