De acuerdo con la Agencia de Ciberseguridad de los Estados Unidos (CISA), la vulnerabilidad, que permite la ejecución remota de código sin autenticación, está siendo explotada en entornos reales. El parche está disponible desde la semana pasada.
La agencia de ciberseguridad de Estados Unidos, CISA, incluyó recientemente la falla CVE-2025-40551 en su catálogo de vulnerabilidades explotadas activamente (Known Exploited Vulnerabilities, o KEV), esto tras confirmar que actores de ataque estaban aprovechando el error para comprometer sistemas que utilizan SolarWinds Web Help Desk (WHD), una plataforma de gestión de tickets y activos ampliamente utilizada a nivel global.
La vulnerabilidad, clasificada como crítica tiene una puntuación de 9,8 en la escala CVSS, representa un riesgo técnico extremadamente alto para las empresas y organizaciones, indicó CISA. Según la agencia norteamericana, se trata de un defecto de deserialización de datos no confiables que permite a los atacantes remotos ejecutar código arbitrario en servidores afectados sin necesidad de autenticación previa, lo que abre la puerta a accesos no autorizados, potencial robo de datos o la instalación de software malicioso.
SolarWinds lanzó el 28 de enero una actualización de seguridad que corrige este y otros defectos graves, incluida la versión 2026.1 del Web Help Desk, recomendando a todos los clientes migrar a esa variante lo antes posible. La empresa también publicó otros parches relacionados con bypass de autenticación y credenciales codificadas de forma fija, que podrían, combinados con la falla principal, facilitar rutas adicionales para la toma de control de sistemas.
Pese a que inicialmente no se había confirmado explotación activa de CVE-2025-40551 en ataques reales en el momento de la publicación del aviso de SolarWinds, la entrada de esta falla en la lista de CISA implica evidencia de actividad maliciosa concreta.
Investigaciones técnicas sobre el defecto señalan que el error reside en cómo la aplicación procesa objetos de datos entrantes. Al recibir datos serializados sin la debida validación, un atacante puede provocar que el sistema deserialice contenido malicioso, desencadenando la ejecución de comandos en el sistema subyacente. Este tipo de fallas suele ser especialmente grave porque no requiere credenciales de acceso ni interacción del usuario para su explotación.
Además de la falla CVE-2025-40551, el más reciente set de parches de SolarWinds incluye correcciones para otros problemas de severidad crítica y alta en WHD, que abarcan vulnerabilidades adicionales de deserialización y de burlar mecanismos de autenticación. Administradores de sistemas han sido advertidos de que cualquier instancia expuesta directamente a Internet o mal segmentada en la red corporativa podría ser un objetivo viable para atacantes.