【漏洞预警】SolarWinds Web Help Desk 代码执行漏洞 (CVE-2025-40536/CVE-2025-40551)
匿名者 20小时前
漏洞名称:SolarWinds Web Help Desk 代码执行漏洞(CVE-2025-40536/CVE-2025-40551)
风险等级:
高危风险
受影响版本:2026.1 之前的所有版本
产品概述:
SolarWinds Web Help Desk(WHD)是一款 Web 架构的 IT 服务管理软件。它为全行业企业提供服务请求管理、IT 资产管理、终端用户自助服务等核心功能。其核心用户群体包括大型企业 IT 运维部门、中小企业、政企单位和跨国企业。该产品系统存储 IT资产信息、用户凭据等敏感数据。
漏洞描述:
攻击者通过 CVE-2025-40536 突破访问控制,再利用 CVE-2025-40551 投递序列化载荷,最终在未授权的情况下实现 SYSTEM 级别的远程代码执行。
漏洞利用链推演:
1. 探测与绕过:攻击者发送带有 ?badparam=/ajax/ 的请求,利用 CVE-2025-40536绕过 CSRF 防护,强制服务器加载 LoginPref 组件,建立未授权会话上下文。
2. 混淆传输:攻击者构造恶意的 JSON-RPC 数据包,并将目标 URL 路径伪装为/wo/ 以规避针对 /ajax/ 的已知防御规则(CVE-2025-40551 利用前奏)。
3. 代码执行:后端解析 JSON-RPC 请求,反序列化其中嵌入的 JNDIConnectionPool或 SQLite JDBC 对象。
4. 控制获取:恶意对象触发 JNDI 注入或驱动加载行为,服务器执行攻击者预置的Shell 命令,导致系统完全沦陷。
FOFA自检语句:
app="SolarWinds-Web-Help-Desk"
FOFA 近一月搜索值情况:
| 时间节点 | 事件描述 | FOFA 热度表现 |
|---|---|---|
| 1月28日 | 漏洞正式披露。SolarWinds 发布 WHD 2026.1 版本,修复包含免验证 RCE 和绕过在内的多个严重漏洞。 | 初步增长 |
| 1月29-30日 | 安全机构 (Horizon3.ai, watchTowr) 发布初步分析。全球资产测绘开始大规模扫描。 | 历史最高峰 |
| 2月1-4日 | 漏洞进入消化期,CISA 将部分漏洞列入 KEV 清单,提醒联邦机构限期修复。 | 高位震荡 |
| 2月5日 | 利用技术细节公开。公网出现详细的 PoC/Exploit 链条分析,攻击与验证活动再次活跃。 | 显著反弹 |
全球数据统计:
| 国家/地区 | 资产数量 | 占比 |
|---|---|---|
| 美国 | 4917 | 20.34% |
| 日本 | 1879 | 7.77% |
| 新加坡 | 1340 | 5.54% |
修复方案:
官方已发布修复版本 SolarWinds Web Help Desk 2026.1,修复该漏洞。
下载地址:solarwinds.com/support/downloads
我司产品支持情况:
FOEYE:支持该漏洞关联内网资产风险应急响应,直接发现受此漏洞影响的内网资产清单,一键进行专项漏洞风险排查。
FORadar:支持一键关联用户存量资产库,自动匹配受该漏洞影响的互联网暴露风险资产,对风险资产发起专项扫描任务。
Goby:支持针对目标资产进行该漏洞的主动漏洞扫描探测及实战化漏洞验证。
最新评论