Die IT-Support-Software Web Help Desk von SolarWinds ist verwundbar. Angreifer können Instanzen abstürzen lassen oder sogar Schadcode ausführen. Eine Sicherheitslücke steckt in der Software direkt, die anderen Lücken betreffen Komponenten, die Web Help Desk nutzt. In einer aktuellen Version haben die Entwickler die Schwachstellen geschlossen. Bislang gibt es keine Hinweise auf Attacken.
Server vor möglichen Attacken schützen
Nutzen Angreifer die Schwachstelle in Web Help Desk (CVE-2026-28299 „hoch“) erfolgreich aus, stürzt der Web-Help-Desk-Server ab. Im Anschluss ist der IT-Support in Firmen nicht mehr verfügbar. Eine „kritische“ Lücke (CVE-2025-12762) betrifft pgAdmin4. Hier können Angreifer Schadcode ausführen. Wie das konkret ablaufen könnte, ist bislang nicht bekannt.
Über die weiteren Schwachstellen kann ebenfalls Schadcode auf Systeme gelangen (etwa CVE-2025-12763 „hoch“). Oder Angreifer umgehen die TLS-Zertifikat-Verifizierung (CVE-2025-12765 „hoch“).
Die Entwickler versichern, SolarWinds Web Help Desk 2026.2 repariert zu haben. Die Warnmeldung liest sich so, als wären alle vorigen Versionen verwundbar. SolarWinds weist darauf hin, dass Nutzer von früheren Ausgaben zuerst auf 2026.1 und erst dann auf die aktuelle Version umsteigen sollten. Offensichtlich kann es sonst zu Fehlern im Betrieb kommen.
Nur noch TLS 1.2 und TLS 1.3
In der aktuellen Ausgabe haben die Entwickler den sicheren Betrieb zudem durch Anpassungen verbessert: So werden ab sofort nur noch TLS 1.2 und TLS 1.3 unterstützt. Außerdem sind standardmäßig nur noch moderne, empfohlene Cipher Suites aktiviert. Überdies haben die Entwickler noch mehrere Bugs aufgelöst und die aktuelle Version unterstützt jetzt Windows Server 2025.
(des)
English (US) ·