CVE-2025-26399

SolarWinds Web Help Desk

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2026-03-09

Официальное описание

SolarWinds Web Help Desk contain a deserialization of untrusted data vulnerability in AjaxProxy that could allow an attacker to run commands on the host machine.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-26399 представляет собой критическую уязвимость типа «десериализация недоверенных данных» (Insecure Deserialization) в компоненте AjaxProxy продукта SolarWinds Web Help Desk (WHD).

Злоумышленник может отправить специально сформированный запрос к AjaxProxy, который при обработке сервером приведет к выполнению произвольного кода (RCE) в контексте учетной записи, под которой запущен сервис WHD. Это позволяет атакующему полностью скомпрометировать хостовую машину, получить доступ к базе данных заявок и конфиденциальной информации пользователей.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является обновление SolarWinds Web Help Desk до версии 12.8.4 или выше, в которой механизмы обработки данных в AjaxProxy были переработаны для предотвращения небезопасной десериализации.

Шаги по обновлению:

  1. Создайте резервную копию базы данных и текущей директории установки WHD.
  2. Загрузите актуальный установщик из SolarWinds Customer Portal.
  3. Остановите службу Web Help Desk:
Stop-Service -Name "Web Help Desk"
  1. Запустите установщик и следуйте инструкциям мастера обновления.
  2. После завершения установки убедитесь, что служба запущена:
Start-Service -Name "Web Help Desk"

Временные меры

Если немедленное обновление невозможно, необходимо ограничить векторы атаки на сетевом уровне и уровне конфигурации приложения:

  1. Ограничение доступа к AjaxProxy: Настройте правила межсетевого экрана (WAF) или Reverse Proxy (NGINX/IIS), чтобы блокировать внешние запросы, содержащие обращения к эндпоинтам AjaxProxy, если они не требуются для работы внешних пользователей.

  2. Принцип минимальных привилегий: Убедитесь, что служба Web Help Desk запущена от имени учетной записи с минимальными правами в системе (Managed Service Account), а не от имени LocalSystem или Administrator. Это ограничит ущерб в случае эксплуатации.

sc.exe config "Web Help Desk" obj= "DOMAIN\ServiceAccount" password= "Password123"
  1. Изоляция сервера: Поместите сервер WHD в изолированный сегмент сети (VLAN) и ограничьте исходящие соединения в интернет, чтобы предотвратить загрузку полезной нагрузки (payload) или установку reverse shell в случае успешной атаки.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей