• Saltar a la navegación principal
  • Saltar al contenido principal
S2GRUPO

Empresa Española Especializada en Ciberseguridad

  • Empresa
    • Sobre nosotros
    • Equipo directivo
    • RSE
    • Reconocimientos
  • Especialización
    • OT Industrial
    • IT
    • OT Salud
  • Soluciones
  • I+D+i
    • I+D
    • S2X
  • Talento
  • Noticias y publicaciones
  • Contacto
  • facebook
  • twitter
  • instagram
  • linkedin
|
es arrow down
  • en
© 2025 S2 Grupo
Alertas

Vulnerabilidades críticas en SolarWinds 2025

02 Oct 2025

Vulnerabilidad crítica - 24 de septiembre

Introducción

CVE-2025-26399 corresponde a un fallo crítico en SolarWinds Web Help Desk (WHD) que permite la ejecución remota de código sin necesidad de autenticación. El problema radica en el componente AjaxProxy, encargado de procesar solicitudes mediante deserialización de datos. Debido a que esta operación no valida adecuadamente la información recibida, un atacante remoto puede enviar cargas maliciosas que, al ser procesadas por el sistema, desencadenan la ejecución de código arbitrario en el servidor vulnerable.

Análisis

CVE-2025-26399 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

No se requieren credenciales para aprovechar el fallo: cualquier actor externo con acceso a la aplicación puede explotarlo directamente. Además, esta vulnerabilidad no surge de forma aislada, sino como parte de una cadena de intentos de corrección. En 2024, SolarWinds parchó un fallo previo (CVE-2024-28986), que posteriormente fue eludido, lo que llevó a la publicación de una nueva mitigación (CVE-2024-28988). Sin embargo, esa solución también resultó insuficiente, y CVE-2025-26399 representa un nuevo bypass que vuelve a exponer el mismo módulo a ataques.

Versiones afectadas

SolarWinds Web Help Desk 12.8.7 y todas las versiones anteriores.

Recomendaciones

Se recomienda instalar WHD 12.8.7 Hotfix 1 para mitigar la vulnerabilidad.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

  • https://www.solarwinds.com/trust-center/security-advisories/cve-2025-26399
  • https://www.bleepingcomputer.com/news/security/solarwinds-releases-third-patch-to-fix-web-help-desk-rce-bug/amp/
  • https://thehackernews.com/2025/09/solarwinds-releases-hotfix-for-critical.html

  • Facebook
  • Twitter
  • LinkedIn
Artículos relacionados
Vulnerabilidades críticas en Red Hat Openshift AI Service 2025
Leer más →
Vulnerabilidades críticas en One Identity 2025
Leer más →
Vulnerabilidades críticas en Wondershare Repairlt 2025
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día

S2GRUPO
© 2025 S2 Grupo
  • Central de prensa
  • Aviso legal
  • Política de Privacidad
  • Política de Cookies
  • Canal Ético
  • Política de Innovación