SolarWinds выпустила обновление для Web Help Desk и закрыла пачку критических дыр, среди которых самая неприятная для админов выглядит как чистый проход мимо входа. Уязвимость CVE-2025-40552 получила 9,8 по CVSS и позволяет удаленно вызывать действия и методы, которые должны требовать аутентификации. Проще говоря, атакующий может работать с интерфейсом так, будто он уже вошел, хотя логина и пароля у него нет.
CVE-2025-40552 не одиночка. В релизе WHD 2026.1 SolarWinds перечисляет сразу несколько критических проблем: две уязвимости удаленного выполнения кода без аутентификации (CVE-2025-40551 и CVE-2025-40553) и еще один обход аутентификации (CVE-2025-40554). Есть и уязвимости высокой степени: пароли, жёстко вписанные в код (CVE-2025-40537), и обход проверки прав доступа (CVE-2025-40536).
По данным SolarWinds, все это исправлено в Web Help Desk 2026.1, релиз датирован 28 января 2026 года. В списке благодарностей указаны исследователи, которые нашли проблемы: Пётр Базыдло (Piotr Bazydlo) из watchTowr для CVE-2025-40552, CVE-2025-40553, CVE-2025-40554 и Джими Себри (Jimi Sebree) из компании Horizon3[.]ai для CVE-2025-40551, CVE-2025-40536, CVE-2025-40537.
Почему эта история быстро становится громкой. Web Help Desk стоит в компаниях не как игрушка, а как рабочий портал поддержки, куда пользователи и админы часто складывают технические детали, куски конфигураций, логи, иногда даже пароли и токены, потому что так быстрее решить проблему. Плюс это не первый раз, когда WHD попадает в неприятный цикл. В 2025 SolarWinds уже выпускала патчи для цепочек, где исправления оказывались неполными, а исследователи находили обходы патчей. Поэтому продукт давно интересен тем, кто сканирует интернет в поисках админок, которые забыли закрыть.
Рекомендации
- Проверьте версию Web Help Desk и план обновления. SolarWinds прямо рекомендует обновлять уязвимые серверы до WHD 2026.1, где перечисленные CVE закрыты.
- Если портал поддержки доступен из интернета, это повод быстро пересмотреть схему доступа. Даже без деталей эксплуатации логика простая: когда есть обход аутентификации и удаленное выполнение кода, лучше, чтобы до панели управления не мог дотянуться любой снаружи. Минимальный набор мер обычно включает VPN, белые списки IP и отдельный административный сегмент.
- Если обновление нельзя поставить сразу, не пытайтесь лечить проблему настройками. В таких случаях частичный обход часто хуже, чем честное ограничение доступа на время работ.
И еще один совет: Help Desk порталы часто становятся местом, где лежит лишняя информация. После обновления полезно пробежаться по тикетам и шаблонам и убрать то, что не должно храниться годами.
WHD 2026.1 закрывает сразу несколько критических уязвимостей, включая обход входа и RCE, поэтому это обновление лучше воспринимать не как плановую косметику, а как ремонт двери, которую слишком легко открыть снаружи.
