Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Serv-U de SolarWinds

Fecha de publicación 19/11/2025
Identificador
INCIBE-2025-0645
Importancia
5 - Crítica
Recursos Afectados

SolarWinds Serv-U 15.5.2.2.102.

Descripción

SolarWinds ha publicado 3 vulnerabilidades de severidad crítica que podrían permitir a un atacante ejecutar código arbitrario.

Solución

Actualizar a la versión 15.5.3.

Detalle
  • CVE-2025-40547: vulnerabilidad de error lógico que, de ser explotada, podría permitir a un atacante con privilegios de administrador ejecutar código malicioso. Para explotar esta vulnerabilidad se requieren privilegios administrativos.
  • CVE-2025-40548: la ausencia de un proceso de validación en Serv U, si se explota, podría permitir que un atacante con privilegios de administrador ejecute código malicioso. Para explotar esta vulnerabilidad se requieren privilegios administrativos.
  • CVE-2025-40549: la vulnerabilidad permite omitir la restricción de rutas. Si se explota, un atacante con privilegios de administrador podría ejecutar código en un directorio. Para explotar esta vulnerabilidad se requieren privilegios administrativos. 
CVE
Explotación
No
Fabricante
solarwinds
Identificador CVE
CVE-2025-40547
Severidad
Crítica
Explotación
No
Fabricante
solarwinds
Identificador CVE
CVE-2025-40548
Severidad
Crítica
Explotación
No
Fabricante
solarwinds
Identificador CVE
CVE-2025-40549
Severidad
Crítica
Listado de referencias
SolarWinds Serv-U Logic Abuse - Remote Code Execution Vulnerability (CVE-2025-40547)
SolarWinds Serv-U Broken Access Control - Remote Code Execution Vulnerability (CVE-2025-40548)
SolarWinds Serv-U Path Restriction Bypass Vulnerability (CVE-2025-40549)
Etiquetas