SolarWinds ha anunciado un tercer hotfix para una vulnerabilidad de ejecución remota de código (RCE) que afecta a su plataforma Web Help Desk, lo que evidencia los desafíos continuos para asegurar este producto. La falla recientemente identificada, CVE-2025-26399 (puntuación CVSS: 9.8), es un problema de deserialización AjaxProxy sin autenticación que podría permitir a atacantes ejecutar comandos en el sistema afectado.

Según SolarWinds, esta vulnerabilidad es un bypass del parche para CVE-2024-28988, el cual, a su vez, había sido un bypass del parche para CVE-2024-28986. El error original, CVE-2024-28986, era un RCE de deserialización en Java explotable sin autenticación y requirió un hotfix en agosto de 2024 poco después de su descubrimiento.

Historial de desafíos con los parches

Después del primer parche, SolarWinds lanzó un segundo hotfix que abordaba CVE-2024-28987, resolviendo problemas con credenciales codificadas que se habían introducido durante la implementación del primer parche. Sin embargo, a mediados de octubre de 2024, la agencia estadounidense de ciberseguridad CISA advirtió que estas credenciales codificadas ya habían sido explotadas en ataques, lo que llevó a SolarWinds a emitir un tercer hotfix que también abordaba CVE-2024-28988, otra vulnerabilidad crítica de deserialización AjaxProxy.

El CVE-2025-26399 recientemente revelado fue identificado por un investigador de seguridad anónimo que colabora con la Zero Day Initiative (ZDI) de Trend Micro, y representa el último esfuerzo de SolarWinds para cerrar esta brecha de seguridad persistente. Aunque no se han reportado explotaciones confirmadas en entornos reales de CVE-2024-28988, los expertos advierten que la alta criticidad de estas vulnerabilidades hace que aplicar los parches sea esencial.

Ryan Dewhurst, jefe de inteligencia de amenazas en watchTowr, señala que aunque todavía no se ha observado explotación activa de CVE-2025-26399, “la historia sugiere que solo es cuestión de tiempo” antes de que los atacantes intenten aprovecharse de estas fallas críticas.

Acción recomendada

SolarWinds ha lanzado Web Help Desk 12.8.7 Hotfix 1 para abordar CVE-2025-26399. Este hotfix incluye instrucciones detalladas para su aplicación segura y se recomienda encarecidamente a todos los usuarios que ejecuten versiones afectadas.

Dado los repetidos bypass de parches y el historial de explotación, las organizaciones que dependen de Web Help Desk deben aplicar el hotfix de inmediato, revisar sus controles de acceso y monitorear cualquier actividad sospechosa relacionada con esta vulnerabilidad.

Fuente: https://www.securityweek.com/solarwinds-makes-third-attempt-at-patching-exploited-vulnerability