cve-2025-40536 - RunkIntel

# CVE-2025-40536 - Bypass de Controle de Segurança no SolarWinds Web Help Desk > [!high] > Vulnerabilidade de bypass de mecanismo de proteção (CSRF bypass) no SolarWinds Web Help Desk permite que atacantes não autenticados acessem funcionalidades restritas da plataforma de help desk. CVSS 9.8, exploração ativa confirmada apenas 15 dias após divulgação. Adicionada ao CISA KEV em fevereiro de 2026. ## Visão Geral O CVE-2025-40536 é uma vulnerabilidade de falha no mecanismo de proteção (CWE-693) no [[web-help-desk|SolarWinds Web Help Desk]] (WHD), uma solução de ITSM (IT Service Management) utilizada por mais de 300.000 organizações globalmente para gerenciamento de chamados de suporte e ativos de TI. A vulnerabilidade permite que atacantes não autenticados contornem proteções CSRF (Cross-Site Request Forgery) no framework WebObjects do WHD, acessando funcionalidades normalmente restritas a usuários autenticados. Esta CVE faz parte de um conjunto de seis vulnerabilidades divulgadas pela SolarWinds em 28 de janeiro de 2026, incluindo quatro críticas (CVSS 9.8) para RCE e bypass de autenticação. Embora o CVE-2025-40536 tenha CVSS 8.1 oficialmente no vendor, fontes como PT Security atribuem CVSS 9.8 baseado no vetor completo. O contexto é alarmante: o SolarWinds Web Help Desk acumula quatro entradas no CISA KEV apenas em 18 meses (CVE-2024-28986 em agosto de 2024, CVE-2024-28987 em outubro de 2024, CVE-2025-26399 em setembro de 2025 e CVE-2025-40536 em fevereiro de 2026), demonstrando um padrão recorrente de vulnerabilidades graves no produto. O WHD é um alvo especialmente valioso para atacantes porque armazena informações altamente sensíveis: credenciais de sistemas internos, dados de configuração de infraestrutura, senhas de contas de serviço e detalhes de ativos de TI. A exploração bem-sucedida pode fornecer o mapa completo da infraestrutura de uma organização antes mesmo de qualquer movimento lateral. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | Data do Patch | |---------|--------------------|--------------------|--------------| | SolarWinds Web Help Desk | < 2026.1 | 2026.1 | 2026-01-28 | ## Detalhes Técnicos O mecanismo de proteção CSRF no framework WebObjects do WHD pode ser contornado por atacantes não autenticados, permitindo acesso a funcionalidades protegidas por autenticação. Esta falha é classificada como CWE-693 (Protection Mechanism Failure). **Vetor de ataque:** Rede (remoto, sem autenticação) **CVSS 3.1:** 9.8 Critical (conforme análise independente) / 8.1 High (vendor) **CWE:** CWE-693 (Protection Mechanism Failure - CSRF Bypass) **Contexto do batch de vulnerabilidades WHD (2026-01-28):** | CVE | CVSS | Tipo | Status KEV | |-----|------|------|------------| | CVE-2025-40551 | 9.8 | RCE via desserialização Java (AjaxProxy) | Adicionado 2026-02-03 | | CVE-2025-40552 | 9.8 | Authentication bypass | Corrigido | | CVE-2025-40553 | 9.8 | RCE via desserialização Java | Corrigido | | CVE-2025-40554 | 9.8 | Authentication bypass | Corrigido | | CVE-2025-40536 | 9.8 | Security control bypass (CSRF) | Adicionado 2026-02-12 | | CVE-2025-40537 | 7.5 | Hardcoded credentials | Corrigido | **Exploração em cadeia típica observada:** 1. CVE-2025-40536 (CSRF bypass) - acesso inicial a funcionalidades protegidas 2. CVE-2025-40537 (credenciais hardcoded) - escalada para funções administrativas 3. CVE-2025-40551/40553 (RCE desserialização) - execução de código no servidor 4. Acesso a todos os tickets, senhas e dados de configuração armazenados ## Mitigação 1. **Atualizar imediatamente** para SolarWinds Web Help Desk versão 2026.1 2. **Isolamento de rede** - Restringir o WHD a redes internas confiáveis; nunca expor à Internet diretamente 3. **Auditoria de logs** - Verificar logs de acesso para sessões não autenticadas acessando endpoints protegidos 4. **Auditoria de permissões** - Revisar contas de usuário e permissões no WHD para detectar modificações não autorizadas 5. **Inventário de dados sensíveis** - Identificar quais credenciais e dados de configuração estão armazenados em tickets do WHD e rotacioná-las > [!latam] > O SolarWinds Web Help Desk é utilizado por organizações de médio e grande porte no Brasil, especialmente em setores financeiro, governo e manufatura. O histórico de vulnerabilidades críticas recorrentes no produto (4 entradas no CISA KEV em 18 meses) deve levar as organizações da região a avaliar a substituição por alternativas mais seguras. O padrão de ataque ao WHD - acesso a credenciais de sistemas internos armazenadas em tickets - é particularmente perigoso para organizações que utilizam o produto como repositório centralizado de credenciais de infraestrutura. ## Histórico de Vulnerabilidades Críticas no SolarWinds WHD | CVE | Data KEV | Tipo | CVSS | |-----|----------|------|------| | CVE-2024-28986 | 2024-08-15 | RCE via Java desserialização | 9.8 | | CVE-2024-28987 | 2024-10-15 | Credenciais hardcoded | 9.1 | | CVE-2025-26399 | 2025-09-23 | Security bypass | - | | CVE-2025-40536 | 2026-02-12 | CSRF bypass | 9.8 | ## Notas Relacionadas **TTPs:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] **Mitigações:** [[m1051-update-software|M1051 - Atualização de Software]] · [[m1038-execution-prevention|M1038 - Prevenção de Execução]] **Setores em risco:** [[technology]] · [[government]] **Produto:** [[web-help-desk|SolarWinds Web Help Desk]] ## Referências - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-40536) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [SolarWinds Advisory](https://www.solarwinds.com/trust-center/security-advisories/CVE-2025-40536) - [Rapid7 ETR Analysis](https://www.rapid7.com/blog/post/etr-multiple-critical-solarwinds-web-help-desk-vulnerabilities-CVE-2025-40551-40552-40553-40554/) - [The Hacker News](https://thehackernews.com/2026/02/cisa-adds-actively-exploited-solarwinds.html) - [CIS Advisory 2026-008](https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-solarwinds-web-help-desk-could-allow-for-arbitrary-code-execution_2026-008)