Kritisk RCE-sårbarhed i SolarWinds Web Help Desk

Der er fundet kritisk sårbarhed i SolarWinds Web Help Desk, som kan udnyttes til Remote Code Execution (RCE) uden krav om autentificering. 

SolarWinds har frigivet et hotfix til version 12.8.7 for at afhjælpe problemet.

Sårbarheden har id’et EUVD-2025-30842 / CVE-2025-26399 og en CVSS-score på 9.8. EPSS-scoren er sat til 0,16 pct, men det kan nå at ændre sig, hvis der udvikles og handles exploits. 

De berørte produkter er følgende:

• SolarWinds Web Help Desk version 12.8.7 og alle tidligere versioner
• Sårbarheden er lukket i hotfixet 12.8.7 HF1, som nu er tilgængeligt fra SolarWinds [SolarWinds...Advisories]

Fejlen skyldes deserialisering af ubetroet data i komponenten AjaxProxy, hvilket gør det muligt for en angriber at køre vilkårlig kode på den berørte server – helt uden autentificering.  

SolarWinds oplyser, at sårbarheden er en patch bypass af tidligere sårbarheder (CVE-2024-28988 og CVE-2024-28986), som også relaterer sig til deserialisering. Den oprindelige fejl er tidligere blevet tilføjet til CISA’s katalog over kendte udnyttede sårbarheder (KEV).

De anbefales at opdatere i henhold til producentens anvisninger.  Det kan være relevant at undersøge logs og systemaktivitet for tegn på uautoriseret adgang eller mistænkelig adfærd.