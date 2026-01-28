Softwarebedrijf SolarWinds waarschuwt voor verschillende kritieke kwetsbaarheden in Web Help Desk waardoor ongeauthenticeerde aanvallers systemen op afstand kunnen overnemen. Ook bevat de software hardcoded inloggegevens waardoor een aanvaller toegang tot "administrative functions" kan krijgen. Er is een update uitgebracht die het probleem verhelpt.
Web Help Desk (WHD) is een ticketingsysteem waarmee organisaties hun gebruikers en klanten tickets kunnen laten insturen. Vervolgens kan de organisatie de ingezonden tickets aan medewerkers toekennen zodat die gemelde problemen kunnen oplossen. De software bevat verschillende kwetsbaarheden, zo laat SolarWinds vandaag weten. Het gaat onder andere om twee "untrusted data deserialization" kwetsbaarheden die remote code execution mogelijk maken en een "authentication bypass" waardoor een aanvaller de authenticatie kan omzeilen.
De impact van deze drie beveiligingslekken (CVE-2025-40551, CVE-2025-40553 en CVE-2025-40554 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De problemen zijn door een ongeauthenticeerde aanvaller op afstand te misbruiken. Een andere opvallende kwetsbaarheid die SolarWinds in Web Help Desk heeft verholpen is CVE-2025-40537. Het betreft de aanwezigheid van hardcoded credentials die een aanvaller toegang tot "administrative functions" geven. Verdere details zijn niet gegeven.
Twee jaar geleden maakten aanvallers actief misbruik van een "deserialization of untrusted data" kwetsbaarheid in SolarWinds Web Help Desk en de aanwezigheid van hardcoded credentials. De twee beveiligingslekken, CVE-2024-28986 en CVE-2024-28987, werden door het Amerikaanse cyberagentschap CISA op een lijst van actief aangevallen kwetsbaarheden geplaatst. In de beveiligingsbulletins voor de nieuwe kwetsbaarheden wordt geen melding van waargenomen misbruik gemaakt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.