SolarWinds aprinde din nou semnalul de alarmă pentru administratorii de sistem: o vulnerabilitate critică în Web Help Desk permite executarea de cod la distanță fără autentificare. E vorba de o succesiune de ocoliri ale patch-urilor, încercări repetate de remediere care reapar, iar acest episod vizează versiunea 12.8.7 a WHD.
Problema, urmărită ca CVE-2025-26399, ține de componenta AjaxProxy și rezultă dintr-o deserializare tratată nesigur. O intrare malițioasă corect construită poate determina serverul să execute comenzi pe gazdă fără autentificare. Nu e prima dată când SolarWinds se confruntă cu astfel de probleme: compania descrie această situație ca un ocol al patch-ului pentru CVE-2024-28988, la rândul lui un ocol pentru CVE-2024-28986. În august anul trecut, Biroul pentru Securitate Cibernetică al SUA (CISA) a marcat defectul inițial ca fiind folosit în atacuri și l-a inclus în catalogul Known Exploited Vulnerabilities, subliniind riscul real al acestor breșe. Noua vulnerabilitate a fost raportată prin Trend Micro Zero Day Initiative; la momentul redactării nu există dovezi publice de exploatări în sălbăticie, dar istoricul impune prudenta.
Web Help Desk este o suită de help-desk și ticketing folosită de organizații medii și mari pentru gestionarea solicitărilor IT, automatizări de fluxuri de lucru, managementul asset-urilor și conformitate. Compromiterea componentelor sale poate afecta direct serviciile IT și confidențialitatea sau disponibilitatea datelor administrate.
SolarWinds oferă acum un hotfix pentru CVE-2025-26399, care implică instalarea versiunii Web Help Desk 12.8.7. Actualizarea nu e automată: hotfix-ul este disponibil numai prin Customer Portal-ul SolarWinds. Pașii recomandați trebuie urmați cu atenție: oprirea serviciului Web Help Desk, navigarea în directorul /bin/webapps/helpdesk/WEB-INF/lib/ (calea poate varia după sistemul de operare), salvarea unei copii și apoi ștergerea fișierului c3p0.jar, realizarea unei copii de rezervă într-un alt director pentru whd-core.jar, whd-web.jar și whd-persistence.jar, copierea JAR-urilor furnizate de hotfix în același director /lib și adăugarea HikariCP.jar, apoi repornirea serviciului. Recomandarea este să se realizeze backup înainte de orice modificare și, dacă este posibil, testarea într-un mediu de preproducție înainte de implementarea în producție.
Chiar dacă nu sunt confirmate exploatări publice ale acestei vulnerabilități, contextul anterior, inclusiv CVE-2024-28986 introdus în catalogul KEV de CISA, recomandă acțiuni imediate. Raportările vin din surse reputabile de cercetare în securitate, iar disponibilitatea rapidă a unui hotfix arată că SolarWinds recunoaște severitatea problemei. Administratorii trebuie să verifice dacă rulează WHD 12.8.7 sau versiuni mai vechi, să descarce hotfix-ul din portalul oficial și să urmeze pașii indicați pentru a elimina componenta vulnerabilă sau a o înlocui cu biblioteci actualizate.
CVE-2025-26399 este asociat direct cu versiunea 12.8.7 și cu tratarea nesigură a deserializării în AjaxProxy. Hotfix-ul înlocuiește anumite JAR-uri din folderul /lib; instrucțiunile cer eliminarea c3p0.jar și adăugarea HikariCP.jar, plus înlocuirea whd-core.jar, whd-web.jar și whd-persistence.jar. Actualizarea este disponibilă exclusiv în Customer Portal; documentația de upgrade și detalii adiționale sunt acolo.
Datele tehnice și istoricul problemelor arată un lanț de remedieri incomplet: un defect inițial (CVE-2024-28986) a generat un patch, apoi un ocol al patch-ului (CVE-2024-28988) și acum acest bypass al patch-ului care a devenit CVE-2025-26399. Practic, schimbările anterioare nu au eliminat complet vectorii de atac, iar lanțul de dependențe și modul de tratare a deserializării rămân puncte sensibile. Organizațiile care se bazează pe WHD trebuie să acorde atenție auditului bibliotecilor și testelor de penetrare interne.
Hotfix-ul ar trebui aplicat cât mai curând de echipele IT care administrează instanțe WHD. Pașii recomandați: oprirea serviciului, backup-ul fișierelor critice, înlocuirea JAR-urilor conform instrucțiunilor, adăugarea HikariCP.jar și repornirea serviciului. Accesul la actualizare se face prin SolarWinds Customer Portal. Nu s-au semnalat exploatări publice la momentul scrierii, dar istoricul vulnerabilităților SolarWinds cere vigilență.
CVE-2025-26399 afectează 12.8.7 și permite unui atacator neautentificat să ruleze comenzi pe gazdă. SolarWinds afirmă că e vorba de un patch bypass pentru problemele anterioare CVE-2024-28988 și CVE-2024-28986. Hotfix-ul impune modificări manuale în folderul /lib și este disponibil doar prin portalul companiei. Verificarea și aplicarea rapidă rămân principalele măsuri de reducere a riscului pentru organizațiile care folosesc WHD.
Documentarea acestor probleme și ciclul de patch-uri ar trebui să reamintească importanța actualizărilor și a managementului dependențelor în aplicațiile enterprise. Exemplul SolarWinds evidențiază importanța testării lanțurilor de biblioteci (whd-core.jar, whd-web.jar, whd-persistence.jar, c3p0.jar) și monitorizării listelor oficiale precum KEV. Dacă folosești WHD, verifică versiunea, descarcă hotfix-ul din Customer Portal și urmează pașii de backup și de înlocuire a JAR-urilor recomandați.
SolarWinds Web Help Desk, versiunile până la 12.8.7, sunt parte din acest fir narativ care include CVE-2024-28986, CVE-2024-28988 și acum CVE-2025-26399; hotfix-ul pentru 12.8.7 înlocuiește câteva JAR-uri și adaugă HikariCP.jar. E momentul pentru verificări, backup-uri și aplicarea patch-ului din Customer Portal. Crezi că organizația ta are proceduri clare pentru a reacționa rapid la astfel de patch-uri critice?
Fii primul care comentează