SolarWinds ha atrevido correcciones en caliente para invadir una defecto de seguridad crítica que afecta su software de mesa de ayuda web que, si se explota con éxito, podría permitir a los atacantes ejecutar comandos arbitrarios en sistemas susceptibles.
La vulnerabilidad, rastreada como CVE-2025-26399 (Puntuación CVSS: 9.8), se ha descrito como una instancia de deserialización de datos no confiables que podrían dar división a la ejecución del código. Afecta la mesa de ayuda web de SolarWinds 12.8.7 y todas las versiones anteriores.
«Se descubrió que la mesa de ayuda web de SolarWinds era susceptible a una vulnerabilidad de ejecución de código remoto de deserialización de Ajaxproxy deserialización que, si se explotan, permitiría que un atacante ejecute comandos en la máquina host», dijo SolarWinds en un aviso publicado el 17 de septiembre de 2025.
Un investigador ignorado que trabaja con la Iniciativa TREND Micro Zero Day (ZDI) ha sido acreditado por descubrir e informar la defecto.
SolarWinds dijo que CVE-2025-26399 es un bypass de parche para CVE-2024-28988 (puntaje CVSS: 9.8), que, a su vez, es un derivado para CVE-2024-28986 (puntaje CVSS: 9.8) que originalmente fue abordado por la compañía en agosto de 2024.
«Esta vulnerabilidad permite a los atacantes remotos ejecutar el código abusivo en las instalaciones afectadas de la mesa de ayuda web de SolarWinds. La autenticación no es necesaria para explotar esta vulnerabilidad», según un aviso de ZDI para CVE-2024-28988.
«El defecto específico existe en el interior del AjaxProxy. El problema resulta de la equivocación de potencia adecuada de los datos proporcionados por el becario, lo que puede dar división a la deserialización de los datos no confiables. Un atacante puede beneficiarse esta vulnerabilidad para ejecutar el código en el contexto del sistema».
Si admisiblemente no hay evidencia de que la vulnerabilidad sea explotada en la naturaleza, se aconseja a los usuarios que actualicen sus instancias a la mesa de ayuda web de SolarWinds 12.8.7 HF1 para una protección óptima.
Dicho esto, vale la pena acentuar que el CVE-2024-28986 llamativo fue añadido al catálogo de vulnerabilidades explotadas (KEV) conocidas por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) poco luego de la divulgación pública. Actualmente no hay información apto públicamente sobre la naturaleza de los ataques armando el error.
«SolarWinds es un nombre que no necesita presentación en los círculos de TI y ciberseguridad. El infame ataque de la dependencia de suministro de 2020, atribuido al Servicio de Inteligencia Extranjeros (SVR) de Rusia, permitió el llegada de meses a múltiples agencias del gobierno occidental y dejó una marca duradera sobre la industria», dijo Ryan Dewhurst, principal de inteligencia de amenaza proactiva en Watchtowr, en una enunciación.
«Avance rápido hasta 2024: una vulnerabilidad de deserialización remota no autenticada (CVE-2024-28986) fue parcheada … luego se parchó nuevamente (CVE-2024-28988). Y ahora, aquí estamos con otro Patch (CVE-2025-26399) que aborda la misma pena.
«La tercera vez es The Charm? El error llamativo fue explotado activamente en la naturaleza, y aunque aún no estamos al tanto de la explotación activa de este extremo bypass de parche, la historia sugiere que es solo cuestión de tiempo».
