SolarWinds heeft beveiligingsupdates uitgebracht om meerdere beveiligingsproblemen aan te pakken die van invloed zijn op de SolarWinds Web Help Desk, waaronder vier kritieke kwetsbaarheden die kunnen resulteren in het omzeilen van authenticatie en het uitvoeren van externe code (RCE).
De lijst met kwetsbaarheden is als volgt:
- CVE-2025-40536 (CVSS-score: 8.1) – Een beveiligingscontrole omzeilt een kwetsbaarheid waardoor een niet-geverifieerde aanvaller toegang kan krijgen tot bepaalde beperkte functionaliteit
- CVE-2025-40537 (CVSS-score: 7,5) – Een hardgecodeerde kwetsbaarheid voor inloggegevens die toegang tot administratieve functies mogelijk maakt met behulp van het “client”-gebruikersaccount
- CVE-2025-40551 (CVSS-score: 9,8) – Een niet-vertrouwde kwetsbaarheid voor deserialisatie van gegevens die kan leiden tot uitvoering van externe code, waardoor een niet-geverifieerde aanvaller opdrachten kan uitvoeren op de hostmachine
- CVE-2025-40552 (CVSS-score: 9,8) – Een kwetsbaarheid voor het omzeilen van authenticatie waardoor een niet-geverifieerde aanvaller acties en methoden kan uitvoeren
- CVE-2025-40553 (CVSS-score: 9,8) – Een niet-vertrouwde kwetsbaarheid voor deserialisatie van gegevens die kan leiden tot uitvoering van externe code, waardoor een niet-geverifieerde aanvaller opdrachten kan uitvoeren op de hostmachine
- CVE-2025-40554 (CVSS-score: 9,8) – Een kwetsbaarheid voor het omzeilen van authenticatie waardoor een aanvaller specifieke acties binnen de Web Help Desk kan uitvoeren
Terwijl Jimi Sebree van Horizon3.ai wordt gecrediteerd voor het ontdekken en rapporteren van de eerste drie kwetsbaarheden, wordt Piotr Bazydlo van watchTowr erkend voor de overige drie tekortkomingen. Alle problemen zijn aangepakt in WHD 2026.1.
“Zowel CVE-2025-40551 als CVE-2025-40553 zijn kritische deserialisatie van niet-vertrouwde gegevenskwetsbaarheden waardoor een niet-geauthenticeerde aanvaller op afstand RCE op een doelsysteem kan bereiken en payloads kan uitvoeren, zoals het uitvoeren van willekeurige OS-opdrachten”, aldus Rapid7.
“RCE via deserialisatie is een zeer betrouwbare vector waar aanvallers gebruik van kunnen maken, en aangezien deze kwetsbaarheden zonder authenticatie kunnen worden misbruikt, is de impact van elk van deze twee kwetsbaarheden aanzienlijk.”
Hoewel CVE-2025-40552 en CVE-2025-40554 zijn beschreven als authenticatieomzeilingen, kunnen ze ook worden gebruikt om RCE te verkrijgen en dezelfde impact te bereiken als de andere twee RCE-deserialisatiekwetsbaarheden, voegde het cyberbeveiligingsbedrijf eraan toe.
De afgelopen jaren heeft SolarWinds oplossingen uitgebracht om verschillende fouten in de Web Help Desk-software op te lossen, waaronder CVE-2024-28986, CVE-2024-28987, CVE-2024-28988 en CVE-2025-26399. Het is vermeldenswaard dat CVE-2025-26399 een patch-bypass voor CVE-2024-28988 aanpakt, die op zijn beurt een patch-bypass is van CVE-2024-28986.
Eind 2024 voegde de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) CVE-2024-28986 en CVE-2024-28987 toe aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve uitbuiting.
In een bericht waarin CVE-2025-40551 wordt uitgelegd, beschreef Sebree van Horizon3.ai het als een zoveelste deserialisatiekwetsbaarheid die voortkomt uit de AjaxProxy-functionaliteit en die zou kunnen resulteren in het uitvoeren van externe code. Om RCE te bereiken moet een aanvaller de volgende reeks acties uitvoeren:
- Breng een geldige sessie tot stand en extraheer sleutelwaarden
- Maak een LoginPref-component
- Stel de status van de LoginPref-component in zodat we toegang hebben tot de bestandsupload
- Gebruik de JSONRPC-bridge om achter de schermen enkele kwaadaardige Java-objecten te maken
- Activeer deze kwaadaardige Java-objecten
Omdat tekortkomingen in de webhelpdesk in het verleden als wapen zijn misbruikt, is het van essentieel belang dat klanten snel overstappen naar de nieuwste versie van het helpdesk- en IT-servicebeheerplatform.
