Se han descubierto múltiples vulnerabilidades de severidad crítica en SolarWinds Serv-U. Un actor malicioso podría ejecutar código arbitrario con privilegios de administrador de sistema en los servidores afectados.
Productos afectados
- SolarWinds Serv-U MFT y Serv-U FTP Server en versiones anteriores a la 15.5.4.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-40538: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de control de acceso defectuoso en Serv-U. Un actor malicioso con privilegios de administrador de dominio o de grupo podría explotar esta vulnerabilidad para crear un usuario administrador del sistema y ejecutar código arbitrario con privilegios de root.
CVE-2025-40540: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de confusión de tipos en Serv-U. Un actor malicioso podría explotar esta vulnerabilidad para lograr la ejecución de código nativo arbitrario como una cuenta privilegiada en el servidor.
CVE-2025-40541: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de referencia directa a objetos insegura en Serv-U. Un actor malicioso podría explotar esta vulnerabilidad para lograr la ejecución de código nativo arbitrario como una cuenta privilegiada en el servidor.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias