SolarWinds 发布针对严重远程代码执行漏洞 CVE-2025-26399 的修补程序

SolarWinds 发布了修补程序来修复影响其 Web Help Desk 软件的一个严重安全漏洞，该漏洞如果被成功利用，可能允许攻击者在易受攻击的系统上执行任意命令。

该漏洞编号为CVE-2025-26399（CVSS 评分：9.8），可导致对不受信任数据的反序列化，从而导致代码执行。该漏洞影响 SolarWinds Web Help Desk 12.8.7 及所有先前版本。

SolarWinds在 2025 年 9 月 17 日发布的公告中表示：“SolarWinds Web Help Desk 被发现容易受到未经身份验证的 AjaxProxy 反序列化远程代码执行漏洞的影响，如果该漏洞被利用，攻击者将能够在主机上运行命令。”

DFIR 保留服务
一位与趋势科技零日计划 (ZDI) 合作的匿名研究人员因发现并报告该漏洞而受到赞誉。

SolarWinds 表示，CVE-2025-26399 是 CVE-2024-28988（CVSS 评分：9.8）的补丁绕过方法，而 CVE-2024-28988 又是CVE-2024-28986（CVSS 评分：9.8）的绕过方法，该公司最初于 2024 年 8 月解决了该问题。

ZDI针对 CVE-2024-28988 的公告指出：“此漏洞允许远程攻击者在受影响的 SolarWinds Web Help Desk 安装上执行任意代码。利用此漏洞无需身份验证。”

该漏洞存在于 AjaxProxy 中。该漏洞源于对用户提供的数据缺乏适当的验证，从而可能导致不受信任的数据被反序列化。攻击者可以利用此漏洞在 SYSTEM 权限下执行代码。

虽然没有证据表明该漏洞已被广泛利用，但建议用户将其实例更新至SolarWinds Web Help Desk 12.8.7 HF1以获得最佳保护。

话虽如此，值得强调的是，原始漏洞 CVE-2024-28986 在公开披露后不久就被美国网络安全和基础设施安全局 (CISA) 添加到已知可利用漏洞 (KEV) 目录中。目前尚无关于利用该漏洞进行攻击的性质的公开信息。

CIS 构建套件
“SolarWinds 这个名字在 IT 和网络安全界无人不知。2020 年臭名昭著的供应链攻击，据称是由俄罗斯对外情报局 (SVR) 发起的，导致多个西方政府机构被入侵长达数月，给整个行业留下了持久的阴影，”watchTowr 主动威胁情报主管 Ryan Dewhurst 在一份声明中表示。

“快进到 2024 年：一个未经身份验证的远程反序列化漏洞 (CVE-2024-28986) 被修补……然后再次被修补 (CVE-2024-28988)。现在，我们又有另一个补丁 (CVE-2025-26399) 来解决同样的缺陷。

“第三次就成功了？最初的漏洞在野外被积极利用，虽然我们还没有发现有人积极利用这个最新的补丁绕过漏洞，但历史表明这只是时间问题。”