Un nuevo aviso de seguridad
Múltiples vulnerabilidades en Serv-U de SolarWinds
Fecha25/02/2026
Importancia5 - Crítica
Recursos Afectados
Está afectado el producto SolarWinds Serv-U en la versión 15.5.
Descripción
Investigadores de seguridad de SolerWinds han informado sobre 4 vulnerabilidades críticas que, en caso de ser explotadas podrían permitir crear un usuario administrador del sistema y ejecutar código arbitrario.
Solución
Se recomienda actualizar el producto SolarWinds Serv-U a la versión 15.5.4.
Detalle
- CVE-2025-40538: vulnerabilidad de control de acceso roto que podría permitir a un atacante malicioso tener la capacidad de crear un usuario con permisos de administrador y ejecutar código arbitrario como administrador de dominio o de grupo.
- CVE-2025-40539 y CVE-2025-40540: vulnerabilidad de confusión de tipos que, en caso de ser explotada podría permitir a un actor malicioso tener la capacidad de ejecutar código nativo arbitrario desde una cuenta privilegiada.
- CVE-2025-40541: vulnerabilidad de referencia directa de objeto insegura (IDOR) que podría permitir a un atacante tener la capacidad de ejecutar código nativo desde una cuenta privilegiada.
En implementaciones de Windows, el riesgo de estas vulnerabilidades pasa a considerarse de severidad media ya que los servicios suelen ejecutarse con cuentas de servicio con menos privilegios de forma predeterminada