SolarWinds Web Help Desk jest podatny na nieuwierzytelnioną podatność RCE opartą na deserializacji komponentu AjaxProxy, umożliwiającą zdalne wykonanie poleceń na serwerze. Jest to podatność krytyczna, aktywnie wykorzystywana przez atakujących, stanowiąca obejście wcześniej wydanego patcha.
▸ Pokaż oryginał (EN)
SolarWinds Web Help Desk was found to be susceptible to an unauthenticated AjaxProxy deserialization remote code execution vulnerability that, if exploited, would allow an attacker to run commands on the host machine. This vulnerability is a patch bypass of CVE-2024-28988, which in turn is a patch bypass of CVE-2024-28986.
Atakujący bez żadnego uwierzytelnienia może wysłać odpowiednio spreparowane żądanie do punktu końcowego AjaxProxy aplikacji Web Help Desk. Punkt ten deserializuje niezaufane dane wejściowe (CWE-502), co pozwala na wstrzyknięcie złośliwego obiektu i wykonanie dowolnych poleceń systemowych na maszynie hostującej aplikację. Podatność stanowi bypass patcha dla CVE-2024-28988, który sam w sobie był bypassem patcha dla CVE-2024-28986, co świadczy o powtarzających się problemach z eliminacją pierwotnej klasy błędu w tym produkcie.
Atakujący może zdalnie wykonać dowolne polecenia z uprawnieniami procesu aplikacji na serwerze hostującym SolarWinds Web Help Desk, co może prowadzić do pełnego przejęcia systemu, kradzieży danych oraz dalszego lateral movement w sieci.
Należy natychmiast zaktualizować SolarWinds Web Help Desk do wersji 12.8.7 Hotfix 1 zgodnie z informacjami w oficjalnych release notes producenta. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do interfejsu Web Help Desk wyłącznie do zaufanych adresów IP.
SolarWinds Web Help Desk — wersje wskazane w referencjach producenta; poprawka dostępna w wersji WHD 12.8.7 Hotfix 1
Podatność jest trzecim ogniwem w łańcuchu bypassów: CVE-2024-28986 → CVE-2024-28988 → CVE-2025-26399. Aktywne wykorzystanie zostało potwierdzone przez CISA (wpis w KEV) oraz odnotowane przez Microsoft Security Blog.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSolarwinds Web Help Desk
APPSolarwinds12.8.7≤ 12.8.6
CISA KEV — szczegółyi
- Dostawcai
- SolarWinds
- Produkti
- Web Help Desk
- Data dodania do KEVi
- 9 marca 2026
- Termin remediation (USA)i
- 12 marca 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
SolarWinds Web Help Desk zawiera lukę deserializacji niezaufanych danych w AjaxProxy, która może pozwolić atakującemu uruchomić polecenia na maszynie hosta.
▸ Pokaż oryginał (EN)
SolarWinds Web Help Desk contain a deserialization of untrusted data vulnerability in AjaxProxy that could allow an attacker to run commands on the host machine.
Powiązane podatności
RCE przez deserializację w SolarWinds Web Help Desk — bez uwierzytelnienia
SolarWinds Web Help Desk – hardcoded credential umożliwia zdalny dostęp
RCE przez Java Deserialization w SolarWinds Web Help Desk
SolarWinds Web Help Desk — pominięcie uwierzytelnienia (Auth Bypass)
SolarWinds Web Help Desk — zdalne wykonanie kodu przez niebezpieczną deserializację