CISA advierte sobre explotación activa de vulnerabilidad en SolarWinds
Publicado el
La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU. (CISA) ha incorporado recientemente una vulnerabilidad crítica que afecta a SolarWinds Web Help Desk (WHD) en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta vulnerabilidad, identificada como CVE-2025-40551, tiene una puntuación de 9.8 en la escala CVSS, lo que indica su alta severidad.
La falla se trata de una vulnerabilidad de deserialización de datos no confiables, que podría permitir a un atacante ejecutar código de forma remota. Según CISA, esto podría habilitar al atacante a ejecutar comandos en la máquina anfitriona sin necesidad de autenticación.
SolarWinds lanzó parches para esta vulnerabilidad la semana pasada, junto con otras fallas también críticas: CVE-2025-40536 (8.1), CVE-2025-40537 (7.5), CVE-2025-40552 (9.8), CVE-2025-40553 (9.8) y CVE-2025-40554 (9.8) en la versión 2026.1 de WHD.
Hasta el momento, no se han reportado detalles públicos sobre cómo se está utilizando esta vulnerabilidad en ataques, quiénes son los posibles objetivos o la magnitud de estos esfuerzos. Esta situación refleja la rapidez con la que los actores de amenazas están aprovechando las fallas recién divulgadas.
Además, la CISA ha añadido al catálogo tres vulnerabilidades adicionales:
- CVE-2019-19006 (9.8): Vulnerabilidad de autenticación incorrecta en Sangoma FreePBX, que podría permitir a usuarios no autorizados eludir la autenticación por contraseña y acceder a servicios administrados por el administrador de FreePBX.
- CVE-2025-64328 (8.6): Vulnerabilidad de inyección de comandos del sistema operativo en Sangoma FreePBX, que podría permitir inyecciones de comandos tras la autenticación por un usuario conocido mediante la función `testconnection -> check_ssh_connect()`, lo que potencialmente daría acceso remoto al sistema como usuario de asterisk.
- CVE-2021-39935 (7.5/6.8): Vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en las ediciones Community y Enterprise de GitLab, que podría permitir a usuarios externos no autorizados realizar peticiones del lado del servidor a través de la API CI Lint.
Es importante señalar que la explotación de CVE-2021-39935 fue destacada por GreyNoise en marzo de 2025, en el contexto de un aumento coordinado en el abuso de vulnerabilidades SSRF en múltiples plataformas.
Las agencias del Federal Civilian Executive Branch (FCEB) están obligadas a remediar CVE-2025-40551 antes del 6 de febrero de 2026, y el resto de las vulnerabilidades antes del 24 de febrero de 2026, de acuerdo con la Directiva Operativa Vinculante (BOD) 22-01: Reducción del Riesgo Significativo de Vulnerabilidades Conocidas Explotadas. La ciberseguridad sigue siendo un tema crucial, y las organizaciones deben mantenerse alerta ante estas amenazas emergentes.