SolarWinds Web Help Desk漏洞CVE-2025-26399

SolarWinds Web Help Desk 是一款基于 Web 的技术支持工单提交和 IT 资产管理软件，该产品已被广泛应用于企业与机构的IT支持场景。

SolarWinds Web Help Desk 基于 ITIL 的标准和规范，支持自动化工单分配、资产管理、知识库整合以及服务请求追踪，提升IT运维效率。

一、基本情况

SolarWinds Web Help Desk 采用 B/S 架构，帮企业高效管理 IT 支持请求，提供多平台支持和灵活集成能力，便于集中化管理和快速响应。

SolarWinds Web Help Desk 提供基于规则路由和升级、实时跟踪及警报功能，自动化处理技术支持工单提交任务，管理工单和解决问题。

栋科技漏洞库关注到 SolarWinds Web Help Desk 受影响版本中存在反序列化RCE漏洞，漏洞追踪为CVE-2025-26399，CVSS3.X评分9.8。

二、漏洞分析

CVE-2025-26399漏洞是存在于 SolarWinds Web Help Desk 低于12.8.7版本的安全漏洞，这是一个反序列化RCE漏洞，漏洞级别较严重。

这是一个未经验证的AjaxProxy反序列化远程代码执行漏洞，攻击者可在无需认证下提交恶意序列化数据，触发反序列化并执行任意命令。

攻击者利用该漏洞可能导致主机被控制，从而可以在主机上运行命令，该漏洞绕过了先前补丁（CVE-2024-28988→CVE-2024-28986）。

因此，CVE-2025-26399漏洞是个绕过CVE-2024-28988漏洞的补丁漏洞，而CVE-2024-28988又是绕过CVE-2024-28986漏洞的补丁漏洞。

三、影响范围

SolarWinds Web Help Desk <= 12.8.7

四、修复建议

SolarWinds Web Help Desk >= 12.8.7 HF1

五、参考链接

管理员已设置登录后刷新可查看