A SolarWinds lançou um hotfix de emergência para corrigir uma falha crítica em seu software Web Help Desk, que permitia a execução remota de código sem necessidade de autenticação. A vulnerabilidade, catalogada como CVE‑2025‑26399, recebeu pontuação CVSS de 9.8, indicando gravidade máxima.
A falha está localizada no componente AjaxProxy, responsável por processar dados serializados. Segundo a empresa, a exploração da vulnerabilidade permite que um invasor envie uma carga maliciosa e execute comandos arbitrários no servidor afetado, podendo comprometer por completo o ambiente da vítima. O caso se torna ainda mais grave por se tratar de uma nova variante que contorna correções anteriores. A falha atua como um bypass das vulnerabilidades CVE‑2024‑28988 e CVE‑2024‑28986, que haviam sido corrigidas anteriormente pela SolarWinds, mas não impediram o surgimento dessa nova brecha.
A correção está disponível por meio da atualização para o Web Help Desk versão 12.8.7 Hotfix 1. A empresa orienta todos os clientes a aplicarem o hotfix imediatamente, especialmente aqueles com instâncias acessíveis via internet. Até o momento, não há evidências públicas de que essa vulnerabilidade tenha sido explorada ativamente. No entanto, devido à sua gravidade e ao histórico de exploração de falhas semelhantes no mesmo produto, especialistas alertam que ataques podem ocorrer a qualquer momento.
