This post is also available in: Português
A vulnerabilidade CVE-2025-26399 expõe o SolarWinds Web Help Desk (WHD) a um risco grave de execução remota de código (RCE). Essa falha está relacionada a um problema de desserialização não autenticada no componente AjaxProxy, o que permite que um invasor execute comandos arbitrários na máquina host, comprometendo todo o ambiente.
Com escore CVSS de 9.8, essa falha é considerada crítica e representa uma ameaça direta à confidencialidade, integridade e disponibilidade dos sistemas que utilizam a solução. O mais preocupante é que se trata de um desvio de patch: primeiro da CVE-2024-28986, depois da CVE-2024-28988, evidenciando dificuldades em mitigar de forma definitiva essa superfície de ataque.
SolarWinds e o impacto da vulnerabilidade
A SolarWinds é uma empresa global de software especializada em soluções de monitoramento, gerenciamento e suporte de TI. Seu Web Help Desk (WHD) é amplamente utilizado por organizações para gerenciamento de tickets, automação de fluxos de suporte e integração com sistemas corporativos, o que o torna um ativo estratégico em operações de TI.
A exploração da CVE-2025-26399 pode permitir que atacantes assumam o controle do servidor onde o WHD está hospedado, executando comandos maliciosos sem autenticação prévia. Isso abre caminho para instalação de backdoors, movimentação lateral dentro da rede e até interrupção completa dos serviços de suporte.
Organizações que dependem do WHD para atendimento e suporte a usuários internos ou externos podem sofrer não apenas impactos técnicos, mas também danos de reputação e prejuízos financeiros significativos.
Impacto e severidade da CVE-2025-26399
O CVSS 9.8 atribuído à CVE-2025-26399 reflete a criticidade da vulnerabilidade. A falha é explorável remotamente, sem a necessidade de credenciais, e pode resultar em comprometimento completo do sistema. Além disso, o histórico de falhas semelhantes na mesma aplicação mostra que, apesar das correções lançadas anteriormente, o vetor de ataque segue ativo por meio de bypass de patches.
Essa reincidência reforça a importância de gestão contínua de vulnerabilidades e aplicação de correções assim que disponibilizadas, além da necessidade de monitoramento proativo de indicadores de comprometimento em ambientes que utilizam o SolarWinds Web Help Desk.
Recomendações e mitigação
A SolarWinds lançou um hotfix (versão 12.8.7 Hotfix 1) para corrigir a CVE-2025-26399. A recomendação imediata é aplicar a atualização disponibilizada pelo fabricante, garantindo que a correção seja efetivamente implementada.
Além da atualização, é essencial que administradores de sistemas realizem uma análise de logs em busca de atividades suspeitas, considerando que a vulnerabilidade já pode estar sendo explorada em ambientes desatualizados. Também é indicado restringir o acesso ao servidor WHD, aplicando controles adicionais de rede para minimizar a exposição do serviço a acessos externos.
De forma complementar, práticas como segmentação de rede, monitoração ativa e revisões periódicas de segurança devem ser incorporadas para reduzir o impacto de potenciais incidentes. A reincidência de falhas semelhantes no WHD ressalta que a simples aplicação de patches não elimina totalmente os riscos, tornando fundamental adotar uma postura de defesa em profundidade.
This post is also available in: Português
