Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Ba đã thêm một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến SolarWinds Web Help Desk (WHD) vào danh mục Known Exploited Vulnerabilities (KEV) của mình, đánh dấu nó đang bị khai thác tích cực trong các cuộc tấn công.
Lỗ hổng, được theo dõi là CVE-2025-40551 (điểm CVSS: 9.8), là một lỗ hổng deserialization dữ liệu không đáng tin cậy có thể mở đường cho việc thực thi mã từ xa (RCE).
"SolarWinds Web Help Desk chứa lỗ hổng deserialization dữ liệu không đáng tin cậy có thể dẫn đến thực thi mã từ xa (RCE), cho phép kẻ tấn công chạy các lệnh trên máy chủ," CISA cho biết. "Lỗ hổng này có thể bị khai thác mà không cần xác thực."
SolarWinds đã phát hành các bản vá cho lỗ hổng này vào tuần trước, cùng với CVE-2025-40536 (điểm CVSS: 8.1), CVE-2025-40537 (điểm CVSS: 7.5), CVE-2025-40552 (điểm CVSS: 9.8), CVE-2025-40553 (điểm CVSS: 9.8) và CVE-2025-40554 (điểm CVSS: 9.8), trong phiên bản WHD 2026.1.
Hiện tại, chưa có báo cáo công khai nào về cách lỗ hổng này bị vũ khí hóa trong các cuộc tấn công, đối tượng mục tiêu hoặc quy mô của các nỗ lực đó. Đây là minh họa mới nhất về việc các threat actor đang nhanh chóng khai thác các lỗ hổng mới được công bố.
Các lỗ hổng khác được thêm vào danh mục KEV
- CVE-2019-19006 (điểm CVSS: 9.8) - Lỗ hổng improper authentication trong Sangoma FreePBX có khả năng cho phép người dùng trái phép bỏ qua xác thực mật khẩu và truy cập các dịch vụ do quản trị viên FreePBX cung cấp.
- CVE-2025-64328 (điểm CVSS: 8.6) - Lỗ hổng operating system command injection trong Sangoma FreePBX có thể cho phép tấn công command injection sau xác thực bởi người dùng đã biết được xác thực thông qua chức năng testconnection -> check_ssh_connect() và có khả năng giành quyền truy cập từ xa vào hệ thống với tư cách người dùng asterisk.
- CVE-2021-39935 (điểm CVSS: 7.5/6.8) - Lỗ hổng server-side request forgery (SSRF) trong GitLab Community và Enterprise Editions có thể cho phép người dùng bên ngoài trái phép thực hiện Server Side Requests thông qua CI Lint API.
Điều đáng chú ý là việc khai thác CVE-2021-39935 đã được nhấn mạnh bởi GreyNoise vào tháng 3 năm 2025, như một phần của làn sóng khai thác phối hợp các lỗ hổng SSRF trên nhiều nền tảng, bao gồm DotNetNuke, Zimbra Collaboration Suite, Broadcom VMware vCenter, ColumbiaSoft DocumentLocator, BerriAI LiteLLM và Ivanti Connect Secure.
Các cơ quan thuộc Federal Civilian Executive Branch (FCEB) được yêu cầu khắc phục CVE-2025-40551 trước ngày 6 tháng 2 năm 2026, và các lỗ hổng còn lại trước ngày 24 tháng 2 năm 2026, theo Binding Operational Directive (BOD) 22-01: Giảm thiểu Rủi ro Đáng kể từ các Lỗ hổng đã biết bị Khai thác.
