Die US-Behörde CISA hat eine kritische Schwachstelle in der SolarWinds Management Software Web Help Desk in ihren „Known Exploited Vulnerabilities“-Katalog (KEV) aufgenommen und damit als aktiv ausgenutzt markiert.
CVE-2025-40551 mit einem CVSS-Sscore von 9.8 erlaubt unauthentifizierten Angreifern die Ausführung von Schadcode aufgrund einer Deserialisierung nicht vertrauenswürdiger Daten. Wie üblich wurden keine Informationen darüber veröffentlicht, wie die Schwachstelle bei Angriffen ausgenutzt wird, durch wen oder wer die Ziele sein könnten. SolarWinds behob die Schwachstelle am 28. Januar mit einem Update auf Version 2026.1.
Administratoren wird empfohlen, umgehend zu patchen. US-Behörden müssen das Update laut KEV-Frist bis 06. Februar umsetzen.
Was jetzt zu tun ist:
