PVEM propone 15 años de cárcel por hackeo gubernamental; detectan malware en extensión falsa de Moltbot para VS Code; SolarWinds corrige 4 fallas críticas en Web Help Desk
30 de January de 2026Reporte Técnico: SolarWinds corrige cuatro vulnerabilidades críticas en Web Help Desk (WHD)
SolarWinds ha lanzado una actualización de seguridad de emergencia para su plataforma Web Help Desk (WHD), abordando un total de seis vulnerabilidades, de las cuales cuatro han sido catalogadas como críticas con una puntuación perfecta de 9.8/10 en la escala CVSS.
Estas fallas permiten a atacantes remotos no autenticados ejecutar comandos en el servidor host o eludir por completo los controles de inicio de sesión, lo que representa un riesgo extremo para la integridad de los datos de soporte técnico y gestión de activos de las organizaciones afectadas.
Desglose de las Vulnerabilidades Críticas
Las fallas más graves se dividen en dos categorías principales: ejecución de código remoto (RCE) por deserialización y bypass de autenticación.
| Identificador | Tipo de Vulnerabilidad | Impacto Técnico |
| CVE-2025-40551 | Deserialización de datos no confiables | Permite RCE no autenticado. El fallo reside en la funcionalidad AjaxProxy, donde las peticiones no son saneadas correctamente, permitiendo inyectar objetos Java maliciosos. |
| CVE-2025-40553 | Deserialización de datos no confiables | Similar a la anterior, permite a un atacante sin privilegios ejecutar comandos arbitrarios a nivel de sistema operativo en el host. |
| CVE-2025-40552 | Bypass de autenticación | Permite a un atacante remoto omitir la verificación de identidad para invocar acciones o métodos que deberían estar restringidos. |
| CVE-2025-40554 | Bypass de autenticación | Otra falla en la lógica de validación que otorga acceso a funciones internas de la aplicación sin necesidad de credenciales válidas. |
Vulnerabilidades de Gravedad Alta
Además de las críticas, se corrigieron dos fallas adicionales descubiertas por el equipo de Horizon3.ai:
CVE-2025-40536 (Bypass de Seguridad): Un fallo que permite saltarse controles de protección de sitios mediante parámetros de consulta manipulados (como el uso de
/ajax/en la URL).CVE-2025-40537 (Credenciales Hardcodeadas): Presencia de credenciales estáticas en el código que podrían permitir el acceso a funciones administrativas bajo condiciones específicas.
Contexto de "Patch Bypass"
Este conjunto de parches es especialmente relevante porque varias de estas vulnerabilidades (especialmente las de deserialización) representan nuevas formas de evadir correcciones anteriores. SolarWinds ha tenido que parchear fallas similares en 2024 y finales de 2025 (como CVE-2025-26399), lo que indica un desafío persistente en el código legado de la aplicación AjaxProxy.
Recomendaciones de Mitigación
SolarWinds insta a todos los administradores a actualizar a la versión Web Help Desk 2026.1 de inmediato.
Actualización Urgente: Instalar la versión 2026.1, que rediseña gran parte del marco de trabajo para eliminar estas debilidades estructurales.
Aislamiento de Red: Como medida temporal, se recomienda encarecidamente que las instancias de WHD no estén expuestas directamente a Internet. Deben colocarse detrás de una VPN o un Firewall con políticas de acceso estrictas.
Revisión de Logs: Los equipos de seguridad deben buscar indicadores de compromiso (IoCs) como peticiones anómalas a
/ajax/o la presencia de objetos Java serializados (AC ED 00 05en hex) en el tráfico entrante hacia el servidor.