Die Supportticket-Management-Software Web Help Desk (WHD) von SolarWinds ist trotz mehrer Sicherheitspatches seit rund einem Jahr verwundbar. Nun gibt es abermals ein Update. Ob es zwischenzeitlich Attacken gegeben hat, ist bislang nicht bekannt.
In den Versionshinweisen von WHD 12.8.7 hotfix 1 versichern die Entwickler, eine "kritische" Schwachstelle (CVE-2025-26399) geschlossen zu haben. Sie betrifft der Beschreibung zufolge die AjaxProxy-Komponente. An dieser Stelle können Angreifer ohne Authentifizierung für Schadcode-Attacken ansetzen, um Hostsysteme zu kompromittieren.
Die Entwickler führen aus, dass der aktuelle Sicherheitspatch die Lücke jetzt endgültig schließen soll. Die Schwachstelle ist nämlich schon seit rund einem Jahr bekannt (CVE-2024-28986, CVE-2024-28988). Die vorigen Sicherheitspatches ließen sich den Entwicklern zufolge umgehen.
In einer Warnmeldung beschreiben sie, wie Admins ihre Instanzen aktualisieren können
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare