SolarWinds, Web Yardım Masası yazılımını etkileyen kritik bir güvenlik kusurunu ele almak için, başarılı bir şekilde kullanılırsa, saldırganların duyarlı sistemlerde keyfi komutlar yürütmesine izin verebilecek sıcak düzeltmeler yayınladı.
Güvenlik açığı, CVE-2025-26399 (CVSS Puanı: 9.8), kod yürütülmesine neden olabilecek güvenilmeyen verilerin düzensizleştirilmesi örneği olarak tanımlanmıştır. Solarwinds Web Yardım Masası 12.8.7’yi ve önceki tüm sürümleri etkiler.
Solarwinds, 17 Eylül 2025’te yayınlanan bir danışmanda, “SolarWinds Web Yardım Masası’nın, bir saldırganın ana bilgisayarda komutlar çalıştırmasına izin verecek, kimliği doğrulanmamış bir Ajaxproxy Deserialization uzaktan kod yürütme kırılganlığına duyarlı olduğu bulundu.” Dedi.
Trend Micro Sıfır Günü Girişimi (ZDI) ile çalışan anonim bir araştırmacı, kusuru keşfetmek ve raporlamakla kredilendirilmiştir.
Solarwinds, CVE-2025-26399’un CVE-2024-28988 (CVSS skoru: 9.8) için bir yama baypası olduğunu ve bu da CVE-2024-28986 (CVSS skoru: 9.8) için bir bypass olduğunu söyledi.
CVE-2024-28988 için bir ZDI danışmanlığına göre, “Bu güvenlik açığı, uzak saldırganların Solarwinds Web Yardım Masası’nın etkilenen kurulumlarında keyfi kod yürütmesine izin veriyor. Bu güvenlik açığından yararlanmak için kimlik doğrulaması gerekli değildir.”
“Ajaxproxy içinde spesifik kusur var. Sorun, kullanıcı tarafından sağlanan verilerin doğru doğrulanmasının eksikliğinden kaynaklanıyor, bu da güvenilmeyen verilerin seansize edilmesine neden olabilir. Bir saldırgan, bu güvenlik açığını sistem bağlamında yürütmek için kullanabilir.”
Vahşi doğada güvenlik açığının kullanıldığına dair bir kanıt olmasa da, kullanıcılara optimum koruma için örneklerini Solarwinds Web Yardım Masası 12.8.7 HF1’e güncellemeleri tavsiye edilir.
Bununla birlikte, ABD Siber Güvenliği ve Altyapı Güvenlik Ajansı (CISA) tarafından halkın ifşasından kısa bir süre sonra bilinen sömürülen güvenlik açıkları (KEV) kataloğuna orijinal hata CVE-2024-28986’nın eklendiğini vurgulamaya değer. Şu anda, hatayı silahlandıran saldırıların doğası hakkında herkese açık bir bilgi bulunmamaktadır.
“Solarwinds, BT ve siber güvenlik çevrelerine giriş gerektirmeyen bir isimdir. Rusya’nın Dış İstihbarat Servisi’ne (SVR) atfedilen meşhur 2020 tedarik zinciri saldırısı, aylarca birden fazla Batı hükümet ajansına erişime izin verdi ve endüstri üzerinde kalıcı bir iz bıraktı.” Dedi.
“2024’e kadar hızlı bir şekilde ileriye dönük: kimlik doğrulanmamış bir uzak seimalizasyon kırılganlığı (CVE-2024-28986) yamalı … sonra tekrar yamalı (CVE-2024-28988). Ve şimdi, burada aynı kusuru ele alan başka bir yama (CVE-2025-26399) ile birlikteyiz.
“Üçüncü kez cazibe mi? Orijinal hata aktif olarak vahşi doğada sömürüldü ve henüz bu son yama bypass’ın aktif sömürüsünün farkında olmasak da, tarih bunun sadece bir zaman meselesi olduğunu gösteriyor.”