Web Help Desk
Уязвимости
21
Эксплуатируемые
5
Макс. CVSS
9.8
Макс. EPSS
0.93159
Распределение по критичности
Критический
9
Высокий
3
Средний
9
Низкий
0
Затронутые диапазоны версий
< 12.7.8< 12.8.3< 12.8.4< 12.8.5< 12.8.7< 2026.1< 2026.2≤ 12.7.2≤ 12.7.7≤ 12.8.2≤ 12.8.6
Также сопоставлено как (исходные строки): web_help_desk
Топ уязвимостей
CVE-2025-40554Было обнаружено, что служба поддержки SolarWinds Web Desk подвержена уязвимости обхода аутентификации, которая, если она используется, может позволить злоумышленнику вызывать определенные действия в Web Help Desk.
CVE-2025-40553Было обнаружено, что служба поддержки SolarWinds Web Desk подвержена ненадежной уязвимости к дезериаизации данных, которая может привести к удаленному выполнению кода, что позволит злоумышленнику выполнять команды на хоминированной машине. Это может быть использовано без аутентификации.
CVE-2025-40552Было обнаружено, что SolarWinds Web Help Desk подвержен уязвимости обхода аутентификации, которая, если она будет использована, позволит злоумышленнику выполнять действия и методы, которые должны быть защищены аутентификацией.
CVE-2025-40551Было обнаружено, что служба поддержки SolarWinds Web Desk подвержена ненадежной уязвимости к дезериаизации данных, которая может привести к удаленному выполнению кода, что позволит злоумышленнику выполнять команды на хоминированной машине. Это может быть использовано без аутентификации.
CVE-2025-40536Было обнаружено, что служба поддержки SolarWinds Web Desk подвержена уязвимости обхода безопасности, которая, если она будет использована, может позволить неаутентичному злоумышленнику получить доступ к определенным ограниченным функциям.
CVE-2025-26399В системе SolarWinds Web Help Desk обнаружена уязвимость, связанная с десериализацией недоверенных данных AjaxProxy, что позволяет злоумышленнику выполнить код на машине хоста без аутентификации. Эта уязвимость является обходом патча CVE-2024-28988, который в свою очередь является обходом патча CVE-2024-28986 [1]. Уязвимость устранена в обновлении Web Help Desk 12.8.7 Hotfix 1.
Источники:
- [1] https://www.solarwinds.com/trust-center/security-advisories/CVE-2025-26399
- [2] https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_12-8-7-hotfix-1_release_notes.htm
CVE-2024-28988SolarWinds Web Help Desk был признан уязвимым для уязвимости Java Deserialization Remote Code Execution, которая при эксплуатации позволяет злоумышленнику выполнять команды на машине-хосте. Эта уязвимость была обнаружена командой ZDI после исследования предыдущей уязвимости и предоставления отчета. Команда ZDI смогла обнаружить неаутентифицированную атаку во время своего исследования.
Мы рекомендуем всем клиентам Web Help Desk применить исправление, которое теперь доступно.
Источники:
- [1] https://support.solarwinds.com/SuccessCenter/s/article/WHD-12-8-3-Hotfix-3
- [2] https://www.solarwinds.com/trust-center/security-advisories/CVE-2024-28988
CVE-2024-28986Установлено, что SolarWinds Web Help Desk подвержен уязвимости удаленного выполнения кода Java Deserialization, которая при эксплуатации позволяет злоумышленнику выполнять команды на хостовой машине.
Хотя она была обозначена как уязвимость без аутентификации, SolarWinds не смогла воспроизвести ее без аутентификации после тщательного тестирования.
Тем не менее, из соображений предосторожности мы рекомендуем всем клиентам Web Help Desk применить патч, который теперь доступен.
CVE-2024-28987Программное обеспечение SolarWinds Web Help Desk (WHD) подвержено уязвимости жестко закодированных учетных данных, позволяющей удаленному не прошедшему проверку подлинности пользователю получать доступ к внутренним функциям и изменять данные.
CVE-2026-28299SolarWinds Web Help Desk подвержен уязвимости отказа в обслуживании, которая при использовании может привести к сбою сервера Web Help Desk из-за недостаточной памяти.
CVE-2025-40537Было установлено, что SolarWinds Web Help Desk подвержен уязвимости жесткой кодировки, которая в определенных ситуациях может позволить доступ к административным функциям.
CVE-2021-35243Методы HTTP PUT и DELETE были включены в веб-сервере Web Help Desk (12.7.7 и более ранних версий), что позволяло пользователям выполнять опасные HTTP-запросы. Метод HTTP PUT обычно используется для загрузки данных, которые сохраняются на сервере с помощью URL-адреса, предоставленного пользователем. В то время как метод DELETE запрашивает, чтобы исходный сервер удалил связь между целевым ресурсом и его текущей функциональностью. Неправильное использование этих методов может привести к потере целостности.
CVE-2025-26400Сообщалось, что на справочную службу SolarWinds Web Help Desk повлияла уязвимость XML External Entity Injection (XXE), которая может привести к раскрытию информации. действителен, низкопривилегированный доступ, если злоумышленник не имел доступа к локальному серверу для изменения файлов конфигурации.
CVE-2024-45709SolarWinds Web Help Desk был восприимчив к уязвимости локального чтения файлов. Для этой уязвимости требуется, чтобы программное обеспечение было установлено на Linux и настроено на использование режима разработки/тестирования, отличного от режима по умолчанию, что делает подверженность уязвимости очень ограниченной.
CVE-2024-28989У SolarWinds Web Help Desk была обнаружена жестко закодированная криптографическая ключ, который может позволить раскрытие конфиденциальной информации из программного обеспечения.
CVE-2019-16961SolarWinds Web Help Desk 12.7.0 допускает XSS через Schedule Name.
CVE-2019-16960SolarWinds Web Help Desk 12.7.0 допускает XSS через файл шаблона CSV с специально созданным полем Location Name.
CVE-2019-16956SolarWinds Web Help Desk 12.7.0 допускает XSS через параметр Request Type в заявке.
CVE-2019-16954SolarWinds Web Help Desk 12.7.0 допускает внедрение HTML через комментарий в заявке на получение справки.
CVE-2021-35251Конфиденциальная информация может отображаться при публикации подробного сообщения об ошибке. Эта информация может раскрыть детали среды об установке Web Help Desk.
CVE-2021-32076Обход ограничения доступа через подмену referrer был обнаружен в SolarWinds Web Help Desk 12.7.2. Злоумышленник может получить доступ к "Web Help Desk Getting Started Wizard", особенно к странице создания учетной записи администратора, из непривилегированного диапазона IP-адресов сети или loopback-адреса, перехватив HTTP-запрос и изменив referrer с общедоступного IP-адреса на loopback.