Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en Serv-U de SolarWinds

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en Serv-U de SolarWinds

Aviso
Recursos Afectados

Está afectado el producto SolarWinds Serv-U en la versión 15.5.

Descripción

Investigadores de seguridad de SolerWinds han informado sobre 4 vulnerabilidades críticas que, en caso de ser explotadas podrían permitir crear un usuario administrador del sistema y ejecutar código arbitrario.

Identificador
INICBE-2026-143

Solución

Se recomienda actualizar el producto SolarWinds Serv-U a la versión 15.5.4.

Detalle
  • CVE-2025-40538: vulnerabilidad de control de acceso roto que podría permitir a un atacante malicioso tener la capacidad de crear un usuario con permisos de administrador y ejecutar código arbitrario como administrador de dominio o de grupo.
  • CVE-2025-40539 y CVE-2025-40540: vulnerabilidad de confusión de tipos que, en caso de ser explotada podría permitir a un actor malicioso tener la capacidad de ejecutar código nativo arbitrario desde una cuenta privilegiada.
  • CVE-2025-40541: vulnerabilidad de referencia directa de objeto insegura (IDOR) que podría permitir a un atacante tener la capacidad de ejecutar código nativo desde una cuenta privilegiada.

En implementaciones de Windows, el riesgo de estas vulnerabilidades pasa a considerarse de severidad media ya que los servicios suelen ejecutarse con cuentas de servicio con menos privilegios de forma predeterminada

5 – Crítica
Listado de referencias
Serv-U 15.5.4 release notes
SolarWinds Serv-U Broken Access Control Remote Code Execution Vulnerability (CVE-2025-40538)
SolarWinds Serv-U Type Confusion Remote Code Execution Vulnerability (CVE-2025-40539)
SolarWinds Serv-U Type Confusion Remote Code Execution Vulnerability (CVE-2025-40540)
SolarWinds Serv-U Insecure Direct Object Reference (IDOR) Remote Code Execution Vulnerability (CVE-2025-40541)

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2025-40538 Crítica No SolarWinds
CVE-2025-40539 Crítica No SolarWinds
CVE-2025-40540 Crítica No SolarWinds
CVE-2025-40541 Crítica No SolarWinds

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.