SolarWinds Web Help Desk jest podatny na deserializację niezaufanych danych, co umożliwia zdalne wykonanie kodu (RCE). Podatność może być wykorzystana bez uwierzytelnienia, co czyni ją wyjątkowo niebezpieczną i aktywnie eksploatowaną.
▸ Pokaż oryginał (EN)
SolarWinds Web Help Desk was found to be susceptible to an untrusted data deserialization vulnerability that could lead to remote code execution, which would allow an attacker to run commands on the host machine. This could be exploited without authentication.
Podatność sklasyfikowana jako CWE-502 (Deserialization of Untrusted Data) polega na tym, że aplikacja przetwarza dane wejściowe dostarczone przez atakującego bez odpowiedniej weryfikacji ich bezpieczeństwa podczas deserializacji. Atakujący może spreparować złośliwy payload i przesłać go do podatnego endpoint'u bez konieczności posiadania jakichkolwiek poświadczeń. Przetworzenie takiego payload'u prowadzi do wykonania dowolnych poleceń na serwerze hostującym aplikację.
Atakujący może uzyskać możliwość zdalnego wykonania dowolnych poleceń na serwerze (RCE), co w praktyce oznacza pełne przejęcie kontroli nad systemem, w tym dostęp do poufnych danych, modyfikację zasobów oraz potencjalny lateral movement w sieci wewnętrznej.
Należy niezwłocznie zaktualizować SolarWinds Web Help Desk do wersji 2026.1 lub nowszej, zgodnie z informacjami zawartymi w oficjalnych notatkach do wydania oraz biuletynie bezpieczeństwa SolarWinds. Ze względu na aktywną eksploatację (CISA KEV) aktualizacja powinna zostać przeprowadzona natychmiast. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do aplikacji wyłącznie do zaufanych sieci lub adresów IP.
SolarWinds Web Help Desk — wersje wskazane w referencjach producenta (patch dostępny w wersji WHD 2026.1 zgodnie z release notes producenta)
Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystanie w środowiskach produkcyjnych. Organizacje korzystające z SolarWinds Web Help Desk powinny potraktować tę podatność jako priorytetową.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSolarwinds Web Help Desk
APPSolarwinds< 2026.1
CISA KEV — szczegółyi
- Dostawcai
- SolarWinds
- Produkti
- Web Help Desk
- Data dodania do KEVi
- 3 lutego 2026
- Termin remediation (USA)i
- 6 lutego 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
SolarWinds Web Help Desk zawiera lukę związaną z deserializacją niezaufanych danych, która może prowadzić do RCE, umożliwiającego atakującemu uruchomienie poleceń na maszynie hosta. Luka może być exploitowana bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
SolarWinds Web Help Desk contains a deserialization of untrusted data vulnerability that could lead to remote code execution, which would allow an attacker to run commands on the host machine. This could be exploited without authentication.
Powiązane podatności
RCE przez deserializację AjaxProxy w SolarWinds Web Help Desk (nieuwierzytelniony)
SolarWinds Web Help Desk – hardcoded credential umożliwia zdalny dostęp
RCE przez Java Deserialization w SolarWinds Web Help Desk
SolarWinds Web Help Desk — pominięcie uwierzytelnienia (Auth Bypass)
SolarWinds Web Help Desk — zdalne wykonanie kodu przez niebezpieczną deserializację