SolarWinds发布补丁，修复其IT服务台产品Web Help Desk（WHD）中的6项漏洞，其中4项为CVSS评分9.8的重大漏洞，涉及身份验证绕过和无需认证的远程代码执行风险。安全公司Rapid7指出，这4项重大漏洞允许远程攻击者在未登录的情况下实现无需认证的远程代码执行或绕过身份验证机制，并建议企业将补丁升级优先级提前，尽快升级至WHD 2026.1。

WHD常用于工单与资产管理，承担IT服务流程中的关键数据与操作界面。Rapid7研究人员分析指出，CVE-2025-40551与CVE-2025-40553属于不受信任数据反序列化问题，可让未经身份验证的远程攻击者在目标系统上执行任意操作系统命令。另外两个重大漏洞CVE-2025-40552与CVE-2025-40554则可用于绕过身份验证，使未认证攻击者能够执行或调用本应由身份验证机制控制的操作与方法。

安全公司Horizon3.ai也发布了技术分析，指出攻击者可将WHD的多项漏洞串联成一条无需认证的远程代码执行攻击链。其攻击方式是先通过CVE-2025-40536等漏洞建立可利用的调用路径，再利用CVE-2025-40551的不受信任数据反序列化缺陷，将攻击推进至在目标主机上执行任意命令。此外，CVE-2025-40537涉及默认账户密码问题，Horizon3.ai研究人员指出，在部分环境中可能影响管理功能访问，进一步放大整体风险。

其中CVE-2025-40551已被发现遭实际利用，并被列入美国CISA的已知被利用漏洞（Known Exploited Vulnerabilities，KEV）清单。许多用户将WHD直接暴露在互联网上，而无需认证的漏洞将极大降低攻击门槛，对这类企业而言，补丁修复的紧迫性更高。

仍在使用WHD 12.8.8 Hotfix 1及更早版本的组织，应盘点实际部署情况与对外暴露面，并规划升级至WHD 2026.1，以修复公告中披露的6项漏洞。如短期内确实无法升级至2026.1，建议先根据SolarWinds公告应用可获取的临时补丁，并同步减少对外暴露面，待完成升级后再恢复正常使用模式。