W aplikacji SolarWinds Web Help Desk wykryto krytyczną podatność umożliwiającą obejście mechanizmu uwierzytelnienia. Nieprawidłowe sprawdzanie tożsamości (CWE-1390) pozwala nieuwierzytelnionemu atakującemu na wykonywanie określonych akcji w systemie bez posiadania prawidłowych poświadczeń.
▸ Pokaż oryginał (EN)
SolarWinds Web Help Desk was found to be susceptible to an authentication bypass vulnerability that, if exploited, could allow an attacker to invoke specific actions within Web Help Desk.
Podatność wynika z nieprawidłowej weryfikacji tożsamości użytkownika w aplikacji Web Help Desk. Atakujący zdalnie, bez uwierzytelnienia i bez żadnej interakcji ze strony ofiary, może wywołać określone akcje wewnątrz systemu. Wektor ataku jest sieciowy (AV:N), złożoność ataku jest niska (AC:L), co oznacza że wykorzystanie podatności nie wymaga specjalistycznej wiedzy ani szczególnych warunków.
Skuteczne wykorzystanie podatności może pozwolić atakującemu na wykonywanie nieautoryzowanych operacji w systemie SolarWinds Web Help Desk, potencjalnie prowadząc do naruszenia poufności, integralności oraz dostępności danych zarządzanych przez system helpdesk.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — zaktualizować SolarWinds Web Help Desk do wersji opisanej w notach wydania WHD 2026-1 dostępnych pod adresem: https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_2026-1_release_notes.htm
SolarWinds Web Help Desk — konkretne wersje podatne wskazane w referencjach producenta (nota wydania WHD 2026-1 oraz advisory SolarWinds)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSolarwinds Web Help Desk
APPSolarwinds< 2026.1
Powiązane podatności
RCE przez deserializację w SolarWinds Web Help Desk — bez uwierzytelnienia
RCE przez deserializację AjaxProxy w SolarWinds Web Help Desk (nieuwierzytelniony)
SolarWinds Web Help Desk – hardcoded credential umożliwia zdalny dostęp
RCE przez Java Deserialization w SolarWinds Web Help Desk
SolarWinds Web Help Desk — pominięcie uwierzytelnienia (Auth Bypass)