CRITICAL🇬🇧 English

CVE-2025-40554

SolarWinds Web Help Desk — pominięcie uwierzytelnienia (Auth Bypass)

CVSS 9.8v3.1pub. 2026-01-28upd. 2026-02-03

W aplikacji SolarWinds Web Help Desk wykryto krytyczną podatność umożliwiającą obejście mechanizmu uwierzytelnienia. Nieprawidłowe sprawdzanie tożsamości (CWE-1390) pozwala nieuwierzytelnionemu atakującemu na wykonywanie określonych akcji w systemie bez posiadania prawidłowych poświadczeń.

Pokaż oryginał (EN)

SolarWinds Web Help Desk was found to be susceptible to an authentication bypass vulnerability that, if exploited, could allow an attacker to invoke specific actions within Web Help Desk.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej weryfikacji tożsamości użytkownika w aplikacji Web Help Desk. Atakujący zdalnie, bez uwierzytelnienia i bez żadnej interakcji ze strony ofiary, może wywołać określone akcje wewnątrz systemu. Wektor ataku jest sieciowy (AV:N), złożoność ataku jest niska (AC:L), co oznacza że wykorzystanie podatności nie wymaga specjalistycznej wiedzy ani szczególnych warunków.

Skutki

Skuteczne wykorzystanie podatności może pozwolić atakującemu na wykonywanie nieautoryzowanych operacji w systemie SolarWinds Web Help Desk, potencjalnie prowadząc do naruszenia poufności, integralności oraz dostępności danych zarządzanych przez system helpdesk.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — zaktualizować SolarWinds Web Help Desk do wersji opisanej w notach wydania WHD 2026-1 dostępnych pod adresem: https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_2026-1_release_notes.htm

Kogo dotyczy

SolarWinds Web Help Desk — konkretne wersje podatne wskazane w referencjach producenta (nota wydania WHD 2026-1 oraz advisory SolarWinds)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Solarwinds Web Help Desk

    APP
    Solarwinds
    < 2026.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-40551CRITICAL9.8⚠ KEVPL ✓ten sam produkt

RCE przez deserializację w SolarWinds Web Help Desk — bez uwierzytelnienia

CVE-2025-26399CRITICAL9.8⚠ KEVPL ✓ten sam produkt

RCE przez deserializację AjaxProxy w SolarWinds Web Help Desk (nieuwierzytelniony)

CVE-2024-28987CRITICAL9.1⚠ KEVPL ✓ten sam produkt

SolarWinds Web Help Desk – hardcoded credential umożliwia zdalny dostęp

CVE-2024-28986CRITICAL9.8⚠ KEVPL ✓ten sam produkt

RCE przez Java Deserialization w SolarWinds Web Help Desk

CVE-2025-40552CRITICAL9.8PL ✓ten sam produkt

SolarWinds Web Help Desk — pominięcie uwierzytelnienia (Auth Bypass)

CVE-2025-40554 — SolarWinds Web Help Desk — pominięcie uwierzytelnienia (Auth Bypass) — CRITICAL 9.8 | CVEbaza.pl