Múltiples vulnerabilidades en Web Help Desk de SolarWinds
Fecha de publicación 29/01/2026
Identificador
INCIBE-2026-068
Importancia
5 - Crítica
Recursos Afectados
- SolarWinds Web Help Desk 12.8.8 HF1 y todas las versiones anteriores.
Descripción
Piotr Bazydlo, de watchTowr, y Jimi Sebree, de Horizon3.ai, han reportado 6 vulnerabilidades 4 de severidad crítica y 2 altas que, en el caso de ser explotadas, podrían permitir a un atacante ejecutar comandos en el equipo host, invocar acciones específicas y tener acceso a ciertas funciones restringidas.
Solución
Se recomienda actualizar el producto a la versión de SolarWinds 2026.1.
Para más información consultar las notas de la versión de WHD 2026.1.
Detalle
- CVE-2025-40553 y CVE-2025-40551: vulnerabilidades de deserialización de datos no confiable que podrían causar que un atacante pueda ejecutar de forma remota comandos en el equipo host.
- CVE-2025-40554: vulnerabilidad de omisión de autenticación que, si se aprovecha, podría habilitar a un atacante invocar acciones específicas.
- CVE-2025-40552: vulnerabilidad de omisión de autenticación que, si se aprovecha, habilitaría a un agente malicioso llevar a cabo acciones y procedimientos que deberían estar protegidos mediante una autenticación previa.
Para las vulnerabilidades de severidad alta se han asignado los siguientes identificadores: CVE-2025-40536 y CVE-2025-40537.
CVE
Listado de referencias
Etiquetas
