SolarWinds heeft hotfixes vrijgegeven om een kritieke beveiligingsfout aan te pakken die van invloed is op zijn webhulpkesse -software die, indien met succes benut, aanvallers in staat zou kunnen stellen om willekeurige opdrachten op gevoelige systemen uit te voeren.
De kwetsbaarheid, gevolgd als CVE-2025-26399 (CVSS -score: 9.8), is beschreven als een exemplaar van deserialisatie van niet -vertrouwde gegevens die kunnen leiden tot code -uitvoering. Het beïnvloedt SolarWinds Web Help Desk 12.8.7 en alle eerdere versies.
“SolarWinds Web Help Desk bleek vatbaar te zijn voor een niet -geauthenticeerde AjaxProxy Deserialisation Remote Code Uitvoering Kwetsbaarheid die, indien uitgebuit, een aanvaller in staat zou stellen commando’s op de hostmachine uit te voeren,” zei Solarwinds in een advies dat werd uitgebracht op 17 september 2025.
Een anonieme onderzoeker die werkt met het Trend Micro Zero Day Initiative (ZDI) is gecrediteerd voor het ontdekken en rapporteren van de fout.
SolarWinds zei dat CVE-2025-26399 een patch-bypass is voor CVE-2024-28988 (CVSS-score: 9.8), die op zijn beurt een bypass is voor CVE-2014-28986 (CVSS-score: 9.8) die oorspronkelijk werd geadresseerd door het bedrijf terug in augustus 2024.
“Met deze kwetsbaarheid kunnen externe aanvallers willekeurige code uitvoeren over getroffen installaties van SolarWinds Web Help Desk. Authenticatie is niet vereist om deze kwetsbaarheid te benutten”, aldus een ZDI-advies voor CVE-2014-28988.
“De specifieke fout bestaat binnen de AJAXProxy. Het probleem is het gevolg van het ontbreken van een goede validatie van door de gebruiker geleverde gegevens, wat kan leiden tot deserialisering van niet-vertrouwde gegevens. Een aanvaller kan deze kwetsbaarheid gebruiken om code uit te voeren in de context van het systeem.”
Hoewel er geen bewijs is dat de kwetsbaarheid in het wild wordt benut, wordt gebruikers geadviseerd om hun instanties bij te werken aan SolarWinds Web Help Desk 12.8.7 HF1 voor optimale bescherming.
Dat gezegd hebbende, het is de moeite waard om te benadrukken dat de originele bug CVE-2024-28986 is toegevoegd aan de bekende uitgebuite Catalogus van Vulnerabilities (KEV) door de US Cybersecurity and Infrastructure Security Agency (CISA) kort na openbare openbaarmaking. Er is momenteel geen informatie over de aard van de aanvallen die de bug bewapent.
“SolarWinds is een naam die er geen introductie in en cybersecurity-kringen nodig heeft. De beruchte aanval van 2020 supply chain, toegeschreven aan de Russische buitenlandse inlichtingendienst (SVR), toegestaan maandenlange toegang tot meerdere westerse overheidsinstanties en een blijvend merk op de industrie achterliet,” Ryan Dewhurst, hoofd van proactieve dreigingsinformatie bij WatchTowr, zei in een verklaring.
“Snel vooruit naar 2024: een niet-geauthenticeerde kwetsbaarheid op afstand deserialisatie (CVE-2024-28986) werd gepatcht … vervolgens opnieuw gepatcht (CVE-2024-28988). En nu zijn we hier met nog een andere patch (CVE-2025-26399) met dezelfde fout.
“De derde keer is de charme? De originele bug werd actief geëxploiteerd in het wild, en hoewel we ons nog niet bewust zijn van de actieve uitbuiting van deze nieuwste patch -bypass, suggereert de geschiedenis dat het slechts een kwestie van tijd is.”
