Die Supportticket-Management-Software Web Help Desk (WHD) von SolarWinds ist trotz mehrer Sicherheitspatches seit rund einem Jahr verwundbar. Nun gibt es abermals ein Update. Ob es zwischenzeitlich Attacken gegeben hat, ist bislang nicht bekannt.

In den Versionshinweisen von WHD 12.8.7 hotfix 1 versichern die Entwickler, eine "kritische" Schwachstelle (CVE-2025-26399) geschlossen zu haben. Sie betrifft der Beschreibung zufolge die AjaxProxy-Komponente. An dieser Stelle können Angreifer ohne Authentifizierung für Schadcode-Attacken ansetzen, um Hostsysteme zu kompromittieren.

Die Entwickler führen aus, dass der aktuelle Sicherheitspatch die Lücke jetzt endgültig schließen soll. Die Schwachstelle ist nämlich schon seit rund einem Jahr bekannt (CVE-2024-28986, CVE-2024-28988). Die vorigen Sicherheitspatches ließen sich den Entwicklern zufolge umgehen.

In einer Warnmeldung beschreiben sie, wie Admins ihre Instanzen aktualisieren können

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

Original Link
(Ursprünglich geschrieben von Heise)