SolarWinds tiene actualizaciones publicadas para abordar cuatro fallas de seguridad críticas en su software de transferencia de archivos Serv-U que, si se explotan con éxito, podrían resultar en la ejecución remota de código.
Las vulnerabilidades, todas con una calificación de 9.1 en el sistema de puntuación CVSS, se enumeran a continuación:
- CVE-2025-40538 – Una vulnerabilidad de control de acceso rota que permite a un atacante crear un usuario administrador del sistema y ejecutar código arbitrario como root a través de privilegios de administrador de dominio o de grupo.
- CVE-2025-40539 – Una vulnerabilidad de confusión de tipos que permite a un atacante ejecutar código nativo arbitrario como root.
- CVE-2025-40540 – Una vulnerabilidad de confusión de tipos que permite a un atacante ejecutar código nativo arbitrario como root.
- CVE-2025-40541 – Una vulnerabilidad de referencia directa a objetos (IDOR) insegura que permite a un atacante ejecutar código nativo como root.
SolarWinds señaló que las vulnerabilidades requieren privilegios administrativos para una explotación exitosa. También dijo que conllevan un riesgo de seguridad medio en las implementaciones de Windows, ya que los servicios «frecuentemente se ejecutan en cuentas de servicio con menos privilegios de forma predeterminada».
Las cuatro deficiencias afectan a la versión 15.5 de SolarWinds Serv-U. Se abordaron en SolarWinds Serv-U versión 15.5.4.
Si bien SolarWinds no menciona las fallas de seguridad que se están explotando en la naturaleza, vulnerabilidades anteriores en el software (CVE-2021-35211, CVE-2021-35247 y CVE-2024-28995) han sido explotadas por actores maliciosos, incluido un grupo de piratería con sede en China rastreado como Storm-0322 (anteriormente DEV-0322).
