更新時間:2026/02/04 18:01:14
發佈時間:2026/02/04 18:01:14
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
SolarWinds近期發布安全公告,指出其Web Help Desk存在多項重大及高風險漏洞,說明如下:
1. CVE-2025-40551、CVE-2025-40553:不受信任資料反序列化漏洞
該漏洞源於應用程式處理外部提交的序列化資料時未進行充分驗證,使未經身分驗證的攻擊者得以藉由不受信任資料反序列化漏洞,進而執行遠端程式碼。
2. CVE-2025-40552、CVE-2025-40554:身分驗證繞過漏洞
該漏洞源於應用程式認證機制未充分驗證請求,使遠端攻擊者得以繞過身分驗證控制,進而取得未授權的系統存取權限。
3. CVE-2025-40536:安全控制繞過漏洞
該漏洞源於應用程式安全控制機制未妥善實施,導致未經身分驗證的攻擊者得以繞過既有存取限制,進而存取部分原應受限制的功能。
4. CVE-2025-40537:硬式編碼憑證漏洞
該漏洞源於應用程式中存在內嵌硬式編碼憑證,於特定情境下,該憑證可被攻擊者用於存取系統的管理功能。
二、已揭露攻擊活動說明
1. CISA已將CVE-2025-40551納入漏洞利用清單。[2]
2. Horizon3.ai提供CVE-2025-40551完整攻擊鏈行為說明。[3]
▶ 漏洞資訊
⌵
名稱:
CVE-2025-40536、CVE-2025-40537、CVE-2025-40551、CVE-2025-40552、CVE-2025-40553、CVE-2025-40554
描述:
使用版本:CVSS 3.1
分析分數:8.1、7.5、9.8、9.8、9.8、9.8
參考來源: SolarWinds
▶ 影響平台
⌵
影響平台-系統:
1. 影響SolarWinds Web Help Desk 12.8.8 Hotfix 1及更早版本,建議升級至2026.1或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_2026-1_release_notes.htm | Solarwinds |
| 2 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 3 | https://horizon3.ai/attack-research/cve-2025-40551-another-solarwinds-web-help-desk-deserialization-issue/ | Horizon3.ai |
情資編號:
FISAC-200-202602-0002
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞