SolarWinds釋出修補程式處理其IT服務臺產品Web Help Desk(WHD)共6項弱點,其中4項為CVSS 9.8的重大漏洞,影響包含身分驗證繞過與免驗證的遠端程式碼執行風險。資安業者Rapid7指出,這4項重大漏洞可讓遠端攻擊者在未登入情況下,達成免驗證遠端程式碼執行或繞過驗證機制,並建議企業把修補優先順序往前提,盡速完成升級至WHD 2026.1。
WHD常被用於工單與資產管理,負責IT服務流程中的關鍵資料與操作介面。Rapid7研究人員整理,CVE-2025-40551與CVE-2025-40553屬不受信任資料反序列化問題,可讓未經驗證的遠端攻擊者在目標系統上執行任意作業系統命令。另兩個重大漏洞CVE-2025-40552與CVE-2025-40554則可被用於繞過身分驗證,讓未經驗證的攻擊者執行或呼叫原本應由驗證機制控管的動作與方法。
資安公司Horizon3.ai也發布技術分析,指出攻擊者可將WHD的多項弱點串成一條免驗證遠端程式碼執行攻擊鏈。其做法是先透過CVE-2025-40536等問題建立可利用的呼叫路徑,再利用CVE-2025-40551的不受信任資料反序列化缺陷,將攻擊推進到在目標主機上執行任意命令。另外CVE-2025-40537固定帳密問題,Horizon3.ai研究人員指出,在部分環境可能影響管理功能存取,會進一步放大整體風險。
其中CVE-2025-40551存在遭濫用的證據,現已被加入美國CISA的已遭利用漏洞(Known Exploited Vulnerabilities,KEV)清單。不少用戶開放WHD從網際網路存取,而免驗證漏洞會使攻擊門檻大幅下降,對這些企業來說修補的急迫性更高。
仍在使用WHD 12.8.8 Hotfix 1及更舊版本的組織,應盤點實際部署與對外曝露情形,並規畫升級至WHD 2026.1,以修補公告揭露的6項漏洞。要是短期確實無法升級到2026.1,建議先依SolarWinds公告套用可取得的修補更新,並同步降低對外曝露面,待升級完成後再回到正常營運模式。
熱門新聞
2026-02-02
2026-02-03
2026-02-02
2026-02-03
2026-02-04
2026-02-02