CVE-2024-28988

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

01/09/2025

Última modificación:

14/11/2025

Descripción

*** Pendiente de traducción *** SolarWinds Web Help Desk was found to be susceptible to a Java Deserialization Remote Code Execution vulnerability that, if exploited, would allow an attacker to run commands on the host machine. This vulnerability was found by the ZDI team after researching a previous vulnerability and providing this report. The ZDI team was able to discover an unauthenticated attack during their research. We recommend all Web Help Desk customers apply the patch, which is now available. We thank Trend Micro Zero Day Initiative (ZDI) for its ongoing partnership in coordinating with SolarWinds on responsible disclosure of this and other potential vulnerabilities.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:solarwinds:web_help_desk::::::::		12.8.2 (incluyendo)
cpe:2.3:a:solarwinds:web_help_desk:12.8.3:-::::::
cpe:2.3:a:solarwinds:web_help_desk:12.8.3:hotfix1::::::
cpe:2.3:a:solarwinds:web_help_desk:12.8.3:hotfix2::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CVE-2024-28988

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información