Vulnerabilidades críticas en SolarWinds 2026

Vulnerabilidad crítica - 29/01

Introducción

SolarWinds ha publicado actualizaciones de seguridad para su software Web Help Desk (WHD) tras detectar varias vulnerabilidades críticas que podrían permitir a atacantes acceder sin permisos y ejecutar código malicioso remotamente.

Análisis

CVE-2025-40551 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

CVE-2025-40551 se origina porque la aplicación acepta datos serializados del exterior y los convierte sin comprobar que sean seguros. Un atacante puede preparar datos especialmente diseñados que, al ser deserializados por el servidor, desencadenan la ejecución de código arbitrario. SolarWinds ha publicado una actualización de seguridad que corrige este fallo, que afecta específicamente a SolarWinds Web Help Desk.

CVE-2025-40552 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

CVE-2025-40552 proviene de un problema de validación débil de autenticación (clasificado como CWE‑1390), es decir, el sistema no verifica correctamente las credenciales antes de permitir el acceso a funciones protegidas. En combinación con otras vulnerabilidades en el mismo producto, este tipo de bypass puede facilitar ataques más amplios. Se recomienda actualizar Web Help Desk a la versión parcheada.

CVE-2025-40553 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

CVE-2025-40553 se clasifica como deserialización insegura de datos no confiables, lo que puede provocar que un atacante ejecute código en el servidor de forma remota sin necesidad de iniciar sesión. SolarWinds ha publicado un parche de seguridad que corrige esta y otras vulnerabilidades críticas en Web Help Desk versión 2026.1.

CVE-2025-40554 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

CVE-2025-40554 se clasifica como una debilidad de autenticación débil (CWE‑1390), lo que significa que el software no verifica correctamente si quien hace una petición está autenticado antes de permitirle ejecutar ciertas funciones. Un atacante con acceso de red puede enviar solicitudes especialmente diseñadas a la aplicación y ésta las aceptará como si vinieran de un usuario legítimo, permitiendo invocar funciones internas sin credenciales. Se recomienda actualizar SolarWinds Web Help Desk a la versión parcheada.

Referencias

• https://www.solarwinds.com/trust-center/security-advisories
• https://thehackernews.com/2026/01/solarwinds-fixes-four-critical-web-help.html
• https://arcticwolf.com/resources/blog/multiple-critical-authentication-bypass-remote-code-execution-vulnerabilities-fixed-in-solarwinds-web-help-desk/
• https://cyberpress.org/solarwinds-bypass-vulnerabilities/

Vulnerabilidad crítica - 25/02

Introducción

SolarWinds ha publicado actualizaciones de seguridad para corregir cuatro vulnerabilidades críticas en su software de transferencia de archivos Serv‑U (versión 15.5), que podrían permitir a un atacante ejecutar código con privilegios de root en servidores vulnerables si se explotan con éxito. Las vulnerabilidades requieren privilegios administrativos para poder explotarse, lo que reduce (pero no elimina) el riesgo si un atacante logra escalar privilegios primero. De momento, SolarWinds no ha reportado explotación activa de estas vulnerabilidades.

Análisis

CVE-2025-40538 - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H - 9,1

CVE‑2025‑40538 es una vulnerabilidad de control de acceso roto en SolarWinds Serv‑U que permite a un atacante, con privilegios limitados o parciales, ejecutar acciones que normalmente deberían estar restringidas a administradores completos. El servidor no valida correctamente si un usuario tiene permiso para ciertas operaciones críticas, como crear cuentas administrativas o ejecutar código con privilegios elevados, por lo que un atacante podría crear una cuenta oculta con derechos de administrador y luego ejecutar scripts o programas como root, comprometiendo por completo la confidencialidad, integridad y disponibilidad del servidor. La falla ocurre en la lógica de la interfaz de administración o en la API del sistema, que confía en el usuario más de lo que debería y permite que sus solicitudes sean ejecutadas sin la verificación adecuada. 

CVE-2025-40540 - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H - 9,1

CVE‑2025‑40540 permite a un atacante que ya dispone de privilegios administrativos hacer que el software interprete datos de forma incorrecta y, al hacerlo, desencadene la ejecución de código nativo arbitrario con privilegios elevados en el sistema afectado. Este fallo proviene de un error en el manejo interno de distintos tipos de datos dentro del código de Serv‑U, lo que puede provocar que la aplicación lea o ejecute memoria de forma errónea y que esa ejecución redirigida permita al atacante correr su propio código con los mismos permisos que el proceso vulnerable. Aunque requiere credenciales administrativas para aprovecharse, el vector de ataque es de red y la complejidad es baja, por lo que una vez que se cumplen los requisitos previos la explotación remota es directa y crítica, pudiendo comprometer completamente la confidencialidad, integridad y disponibilidad del servidor.

CVE-2025-40539 - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H - 9,1

CVE‑2025‑40539 es una vulnerabilidad de confusión de tipos en SolarWinds Serv‑U que, cuando se explota, permite a un atacante que ya tiene privilegios administrativos manipular la forma en que el software interpreta ciertos datos, provocando que el sistema lea o trate esos datos de un tipo incorrecto y, como resultado, acabe ejecutando código nativo arbitrario con los mismos permisos que el proceso vulnerable. Un error en el manejo de tipos de datos hace que componentes internos del programa se comporten de forma inesperada y acepten instrucciones maliciosas que deberían ser bloqueadas. Ese fallo de interpretación puede corromper la memoria y redirigir el flujo de ejecución hacia código controlado por el atacante, poniendo en riesgo la confidencialidad, integridad y disponibilidad del servidor.

CVE-2025-40541 - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H - 9,1

CVE‑2025‑40541 es una vulnerabilidad de tipo Insecure Direct Object Reference (IDOR) en SolarWinds Serv‑U que ocurre porque el software no valida correctamente si un usuario autenticado está autorizado para acceder o manipular ciertos objetos o funciones internas. Cuando esta falla se explota, un atacante que ya posee privilegios administrativos puede manipular referencias directas a objetos y, a través de ese acceso inapropiado, desencadenar la ejecución de código nativo con privilegios elevados en el propio servidor, algo que normalmente debería estar restringido. Aunque el atacante necesita credenciales con altos privilegios para abusar de este error, una vez dentro puede provocar que el programa ejecute instrucciones arbitrarias con permisos de cuenta privilegiada, comprometiendo seriamente la confidencialidad, integridad y disponibilidad del sistema.

Recomendaciones

Actualizar a Serv‑U 15.5.4.

Workarounds

No hay workarounds para estas vulnerabilidades.

Referencias

• https://documentation.solarwinds.com/en/success_center/servu/content/release_notes/servu_15-5-4_release_notes.htm
• https://securityaffairs.com/188454/hacking/solarwinds-patches-four-critical-serv-u-flaws-enabling-root-access.html
• https://thehackernews.com/2026/02/solarwinds-patches-4-critical-serv-u.html
• https://www.bleepingcomputer.com/news/security/critical-solarwinds-serv-u-flaws-offer-root-access-to-servers/