CISA将被积极利用的WHD远程代码执行漏洞列入KEV目录

美国网络安全和基础设施安全局（CISA）周二将影响SolarWinds Web Help Desk（WHD）的一个严重安全漏洞添加到其已知被利用漏洞（KEV）目录中，标记其正在攻击中被积极利用。

该漏洞追踪编号为CVE-2025-40551（CVSS评分：9.8），是一个不可信数据反序列化漏洞，可能为远程代码执行铺平道路。

CISA表示："SolarWinds Web Help Desk包含不可信数据反序列化漏洞，可能导致远程代码执行，这将允许攻击者在主机上运行命令。该漏洞可在无需身份验证的情况下被利用。"

SolarWinds上周发布了该漏洞的修复程序，同时还修复了CVE-2025-40536（CVSS评分：8.1）、CVE-2025-40537（CVSS评分：7.5）、CVE-2025-40552（CVSS评分：9.8）、CVE-2025-40553（CVSS评分：9.8）和CVE-2025-40554（CVSS评分：9.8），在WHD版本2026.1中。

目前尚无关于该漏洞在攻击中如何被武器化、可能的目标对象或此类攻击规模的公开报告。这再次说明威胁行为者正在迅速利用新披露的漏洞。

同时被添加到KEV目录的还有三个其他漏洞

CVE-2019-19006（CVSS评分：9.8）- Sangoma FreePBX中的身份验证不当漏洞，可能允许未授权用户绕过密码验证并访问FreePBX管理员提供的服务

CVE-2025-64328（CVSS评分：8.6）- Sangoma FreePBX中的操作系统命令注入漏洞，可能允许经过身份验证的已知用户通过testconnection -> check_ssh_connect()函数进行认证后命令注入，并可能以asterisk用户身份获得对系统的远程访问

CVE-2021-39935（CVSS评分：7.5/6.8）- GitLab社区版和企业版中的服务器端请求伪造（SSRF）漏洞，可能允许未授权的外部用户通过CI Lint API执行服务器端请求

值得注意的是，GreyNoise在2025年3月强调了CVE-2021-39935的利用，作为多个平台SSRF漏洞滥用协调激增的一部分，包括DotNetNuke、Zimbra Collaboration Suite、Broadcom VMware vCenter、ColumbiaSoft DocumentLocator、BerriAI LiteLLM和Ivanti Connect Secure。

根据约束性操作指令（BOD）22-01：降低已知被利用漏洞的重大风险，联邦文职行政部门（FCEB）机构需要在2026年2月6日前修复CVE-2025-40551，在2026年2月24日前修复其余漏洞。

Q&A

Q1：CVE-2025-40551漏洞有多严重？会造成什么影响？

A：CVE-2025-40551是一个CVSS评分为9.8的严重漏洞，属于不可信数据反序列化漏洞。它可能导致远程代码执行，允许攻击者在主机上运行命令，最关键的是该漏洞可在无需身份验证的情况下被利用。

Q2：SolarWinds已经发布修复补丁了吗？

A：是的，SolarWinds上周已经发布了CVE-2025-40551的修复程序，同时还修复了其他五个漏洞，所有修复都包含在WHD版本2026.1中。用户应尽快更新到最新版本。

Q3：联邦机构需要在什么时候完成漏洞修复？

A：根据约束性操作指令22-01，联邦文职行政部门机构需要在2026年2月6日前修复CVE-2025-40551，在2026年2月24日前修复其余被添加到KEV目录的漏洞。