SolarWinds再次修复Web Help Desk积极利用漏洞的补丁绕过

新闻
2025年9月23日 | 3分钟阅读 | 技术行业、漏洞

一位知名安全研究员问道：“第三次会有奇迹吗？”这似乎是同一个关键Java反序列化漏洞获得的第三次安全更新。

SolarWinds已为其Web Help Desk产品中基本相同的关键Java反序列化漏洞发布了第三个补丁。该原始漏洞首次于2024年8月修补，CISA曾警告称该漏洞已被在野利用。

SolarWinds在其新公告中写道：“此漏洞是CVE-2024-28988的补丁绕过，而CVE-2024-28988又是CVE-2024-28986的补丁绕过。”该公告将最新问题追踪为CVE-2025-26399。

虽然三个CVE ID不同，但它们源于同一个错误：AjaxProxy组件中的不安全Java反序列化问题，可导致未经身份验证的远程代码执行。该漏洞在CVSS严重性评分中被评为9.8分（满分10分）。

在编程中，序列化是将数据转换为字节流的过程，通常用于通过网络传输数据。反序列化逆转此过程，与大多数数据解析操作一样，它可能成为漏洞的来源。

反序列化漏洞最常影响Java应用程序，但用其他编程语言（如ASP.NET）编写的应用程序也可能受到影响。这些漏洞通常导致任意命令执行，因此深受攻击者青睐。

在2024年8月CVE-2024-28986被修补后仅几天，CISA就将其添加到已知被利用漏洞（KEV）目录中，不过尚不清楚该漏洞在补丁发布前是否已被作为零日漏洞利用。

2024年10月，SolarWinds发布了一个新的热修复程序，以解决其初始修复的绕过问题，该绕过是由与趋势科技零日计划（ZDI）合作的研究人员发现的。近一年后，与ZDI合作的研究人员发现了绕过的绕过。

watchTowr主动威胁情报负责人Ryan Dewhurst问道：“第三次会有奇迹吗？原始漏洞在野被积极利用，虽然我们尚未意识到最新补丁绕过被积极利用，但历史表明这只是时间问题。”

补丁绕过并不罕见，尤其是在处理涉及不安全解析不可信用户输入的漏洞时。这是因为许多开发人员采用黑名单方法来修复此类漏洞，只会阻止已知概念验证或武器化漏洞利用中使用的特定输入。

但这通常无法解决问题的根源，留下了其他逃避黑名单并到达代码同一脆弱部分的方法。很难说这种情况发生的频率，因为许多开发人员会将补丁绕过视为单独的错误，并且不会将其披露为绕过。

CSO智能问答

了解更多

提问