CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2025-26399

RCE przez deserializację AjaxProxy w SolarWinds Web Help Desk (nieuwierzytelniony)

CVSS 9.8v3.1pub. 2025-09-23upd. 2026-03-10

SolarWinds Web Help Desk jest podatny na nieuwierzytelnioną podatność RCE opartą na deserializacji komponentu AjaxProxy, umożliwiającą zdalne wykonanie poleceń na serwerze. Jest to podatność krytyczna, aktywnie wykorzystywana przez atakujących, stanowiąca obejście wcześniej wydanego patcha.

Pokaż oryginał (EN)

SolarWinds Web Help Desk was found to be susceptible to an unauthenticated AjaxProxy deserialization remote code execution vulnerability that, if exploited, would allow an attacker to run commands on the host machine. This vulnerability is a patch bypass of CVE-2024-28988, which in turn is a patch bypass of CVE-2024-28986.

🤖 Analiza AI
Jak działa

Atakujący bez żadnego uwierzytelnienia może wysłać odpowiednio spreparowane żądanie do punktu końcowego AjaxProxy aplikacji Web Help Desk. Punkt ten deserializuje niezaufane dane wejściowe (CWE-502), co pozwala na wstrzyknięcie złośliwego obiektu i wykonanie dowolnych poleceń systemowych na maszynie hostującej aplikację. Podatność stanowi bypass patcha dla CVE-2024-28988, który sam w sobie był bypassem patcha dla CVE-2024-28986, co świadczy o powtarzających się problemach z eliminacją pierwotnej klasy błędu w tym produkcie.

Skutki

Atakujący może zdalnie wykonać dowolne polecenia z uprawnieniami procesu aplikacji na serwerze hostującym SolarWinds Web Help Desk, co może prowadzić do pełnego przejęcia systemu, kradzieży danych oraz dalszego lateral movement w sieci.

Mitygacja

Należy natychmiast zaktualizować SolarWinds Web Help Desk do wersji 12.8.7 Hotfix 1 zgodnie z informacjami w oficjalnych release notes producenta. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do interfejsu Web Help Desk wyłącznie do zaufanych adresów IP.

Kogo dotyczy

SolarWinds Web Help Desk — wersje wskazane w referencjach producenta; poprawka dostępna w wersji WHD 12.8.7 Hotfix 1

Uwagi

Podatność jest trzecim ogniwem w łańcuchu bypassów: CVE-2024-28986 → CVE-2024-28988 → CVE-2025-26399. Aktywne wykorzystanie zostało potwierdzone przez CISA (wpis w KEV) oraz odnotowane przez Microsoft Security Blog.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Solarwinds Web Help Desk

    APP
    Solarwinds
    12.8.7≤ 12.8.6

CISA KEV — szczegółyi

Dostawcai
SolarWinds
Produkti
Web Help Desk
Data dodania do KEVi
9 marca 2026
Termin remediation (USA)i
12 marca 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

SolarWinds Web Help Desk zawiera lukę deserializacji niezaufanych danych w AjaxProxy, która może pozwolić atakującemu uruchomić polecenia na maszynie hosta.

tłumaczenie AI
Pokaż oryginał (EN)

SolarWinds Web Help Desk contain a deserialization of untrusted data vulnerability in AjaxProxy that could allow an attacker to run commands on the host machine.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 12 marca 2026
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2025-40551CRITICAL9.8⚠ KEVPL ✓ten sam produkt

RCE przez deserializację w SolarWinds Web Help Desk — bez uwierzytelnienia

CVE-2024-28987CRITICAL9.1⚠ KEVPL ✓ten sam produkt

SolarWinds Web Help Desk – hardcoded credential umożliwia zdalny dostęp

CVE-2024-28986CRITICAL9.8⚠ KEVPL ✓ten sam produkt

RCE przez Java Deserialization w SolarWinds Web Help Desk

CVE-2025-40552CRITICAL9.8PL ✓ten sam produkt

SolarWinds Web Help Desk — pominięcie uwierzytelnienia (Auth Bypass)

CVE-2025-40553CRITICAL9.8PL ✓ten sam produkt

SolarWinds Web Help Desk — zdalne wykonanie kodu przez niebezpieczną deserializację