SolarWinds a publié des mises à jour de sécurité pour corriger plusieurs vulnérabilités de sécurité affectant le service d'assistance Web de SolarWinds, notamment quatre vulnérabilités critiques pouvant conduire au contournement de l'authentification et à l'exécution de code à distance (RCE).
La liste des vulnérabilités est la suivante :
- CVE-2025-40536 (Score CVSS : 8,1) – Une vulnérabilité de contournement des contrôles de sécurité qui pourrait permettre à un attaquant non authentifié d'accéder à certaines fonctions restreintes.
- CVE-2025-40537 (Score CVSS : 7,5) – Une vulnérabilité d'informations d'identification hachées qui pourrait permettre l'accès aux fonctions administratives à l'aide du compte utilisateur « client ».
- CVE-2025-40551 (Score CVSS : 9,8) – Une vulnérabilité de désérialisation de données non fiable qui pourrait conduire à l'exécution de code à distance, permettant à un attaquant non authentifié d'exécuter des commandes sur la machine hôte.
- CVE-2025-40552 (Score CVSS : 9,8) – Une vulnérabilité de contournement d’authentification qui pourrait permettre à un attaquant non authentifié d’exécuter des actions et des méthodes.
- CVE-2025-40553 (Score CVSS : 9,8) – Une vulnérabilité de désérialisation de données non fiable qui pourrait conduire à l'exécution de code à distance, permettant à un attaquant non authentifié d'exécuter des commandes sur la machine hôte.
- CVE-2025-40554 (Score CVSS : 9,8) – Une vulnérabilité de contournement d'authentification qui pourrait permettre à un attaquant d'invoquer des actions spécifiques au sein du Web Help Desk.
Alors que Jimi Sebree de Horizon3.ai est crédité d'avoir découvert et signalé les trois premières vulnérabilités, Piotr Bazydlo de watchTowr est crédité des trois failles restantes. Tous les problèmes ont été résolus dans la WHD 2026.1.
“CVE-2025-40551 et CVE-2025-40553 sont des désérialisations critiques de vulnérabilités de données non fiables qui permettent à un attaquant distant non authentifié d'atteindre le RCE sur un système cible et d'exécuter des charges utiles telles que l'exécution arbitraire de commandes du système d'exploitation”, a déclaré Rapid7.
“Le RCE via la désérialisation est un vecteur hautement fiable que les attaquants peuvent exploiter, et comme ces vulnérabilités peuvent être exploitées sans authentification, l'impact de l'une ou l'autre de ces deux vulnérabilités est significatif.”
Bien que CVE-2025-40552 et CVE-2025-40554 aient été décrits comme des contournements d'authentification, ils pourraient également être exploités pour obtenir RCE et obtenir le même impact que les deux autres vulnérabilités de désérialisation RCE, a ajouté la société de cybersécurité.
Ces dernières années, SolarWinds a publié des correctifs pour résoudre plusieurs failles dans son logiciel d'assistance Web, notamment CVE-2024-28986, CVE-2024-28987, CVE-2024-28988 et CVE-2025-26399. Il convient de noter que CVE-2025-26399 corrige un contournement de correctif pour CVE-2024-28988, qui, à son tour, est un contournement de correctif pour CVE-2024-28986.
Fin 2024, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté CVE-2024-28986 et CVE-2024-28987 à son catalogue de vulnérabilités exploitées connues (KEV), citant des preuves d'exploitation active.
Dans un article expliquant CVE-2025-40551, Sebree d'Horizon3.ai l'a décrit comme une autre vulnérabilité de désérialisation provenant de la fonctionnalité AjaxProxy qui pourrait entraîner l'exécution de code à distance. Pour atteindre le RCE, un attaquant doit effectuer la série d'actions suivante :
- Établir une session valide et extraire les valeurs clés
- Créer un composant LoginPref
- Définir l'état du composant LoginPref pour nous permettre d'accéder au téléchargement du fichier
- Utilisez le pont JSONRPC pour créer des objets Java malveillants en coulisse
- Activez ces objets Java malveillants
Étant donné que les pannes du service d'assistance Web ont été utilisées comme une arme dans le passé, il est essentiel que les clients agissent rapidement pour mettre à niveau vers la dernière version du service d'assistance et de la plateforme de gestion des services informatiques.
