-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden verholpen in SolarWinds Web Help Desk
Advisory ID     : NCSC-2026-0042
Versie          : 1.01
Kans            : high
CVE ID          : CVE-2025-40536, CVE-2025-40537, CVE-2025-40551,
                  CVE-2025-40553, CVE-2025-40554
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Deserialization of Untrusted Data
                  Protection Mechanism Failure
                  Use of Hard-coded Credentials
                  Weak Authentication
Uitgiftedatum   : 20260202
Toepassing      : SolarWinds Web Help Desk
Versie(s)       :
Platform(s)     :

Update
   Er is Proof-of-Concept-code verschenen die de kwetsbaarheid met
   kenmerk CVE-2025-40554 kan aantonen. Met name installaties die
   publiek benaderbaar zijn lopen hierdoor verhoogd risico.

Beschrijving
   SolarWinds heeft kwetsbaarheden verholpen in SolarWinds Web Help
   Desk.

   De kwetsbaarheden omvatten onder andere de mogelijkheid voor
   ongeauthenticeerde aanvallers om toegang te krijgen tot beperkte
   functionaliteiten binnen het systeem, het gebruik van hardcoded
   credentials die ongeautoriseerde toegang tot administratieve functies
   kunnen verlenen, en kwetsbaarheden gerelateerd aan onbetrouwbare
   data-deserialisatie die mogelijk op afstand code-executie kunnen
   mogelijk maken. Daarnaast is er een kwetsbaarheid die het mogelijk
   maakt om authenticatiemechanismen te omzeilen, wat kan leiden tot
   ongeautoriseerde toegang en de mogelijkheid om specifieke acties
   binnen het systeem uit te voeren.
   *Update*: Voor de kwetsbaarheid met kenmerk CVE-2025-40554 is Proof-
   of-Concept-code (PoC) verschenen. De werking van de PoC is niet door
   het NCSC gevalideerd en er wordt op dit moment (nog) geen
   grootschalig misbruik waargenomen, maar het NCSC verwacht een toename
   in scan- en misbruikverkeer, met name bij systemen die publiek
   toegankelijk zijn.

Mogelijke oplossingen
   SolarWinds heeft updates uitgebracht om de kwetsbaarheden te
   verhelpen. Zie bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference
      https://www.solarwinds.com/trust-center/security-advisories

      Reference
      https://www.solarwinds.com/trust-center/security-
      advisories/CVE-2025-40536

      Reference
      https://www.solarwinds.com/trust-center/security-
      advisories/CVE-2025-40537

      Reference
      https://www.solarwinds.com/trust-center/security-
      advisories/CVE-2025-40551

      Reference
      https://www.solarwinds.com/trust-center/security-
      advisories/CVE-2025-40553

      Reference
      https://www.solarwinds.com/trust-center/security-
      advisories/CVE-2025-40554

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=HQAU
-----END PGP SIGNATURE-----