Plataforma
windows
Componente
serv-u
Corregido en
15.5.4
La vulnerabilidad CVE-2025-40538 es una falla de control de acceso en Serv-U, que permite la ejecución remota de código (RCE). Esta falla permite a un atacante crear un usuario administrador del sistema y ejecutar código arbitrario con privilegios elevados. Afecta a versiones de Serv-U anteriores o iguales a 15.5.3. Una solución es actualizar a la versión 15.5.4.
Un atacante que explote esta vulnerabilidad puede obtener control total sobre el servidor Serv-U. Esto implica la capacidad de crear un usuario administrador del sistema, lo que permite la ejecución de código arbitrario con privilegios de administrador de dominio o grupo. En entornos Windows, aunque el riesgo se considera medio debido a que los servicios a menudo se ejecutan con cuentas de servicio menos privilegiadas por defecto, la capacidad de escalar privilegios y ejecutar código malicioso representa una amenaza significativa. La explotación exitosa podría resultar en la pérdida de confidencialidad, integridad y disponibilidad de los datos almacenados y gestionados por Serv-U, así como la posibilidad de movimiento lateral dentro de la red.
La vulnerabilidad CVE-2025-40538 fue publicada el 24 de febrero de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza. La puntuación CVSS de 9.1 (CRITICAL) indica un alto nivel de gravedad. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing SolarWinds Serv-U for file sharing, particularly those with legacy configurations or those running older versions (≤ 15.5.3), are at significant risk. Shared hosting environments where multiple users share a single Serv-U instance are also particularly vulnerable, as a compromise of one user account could potentially lead to the compromise of the entire server.
• windows / supply-chain:
Get-Service ServU | Select-Object -ExpandProperty StartName• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID = 4625" -MaxEvents 10 | Select-Object -Property TimeCreated, Message• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like "ServU*"}disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-40538 es actualizar Serv-U a la versión 15.5.4 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible debido a problemas de compatibilidad o interrupciones del servicio, considere implementar medidas de seguridad adicionales como restringir el acceso a la interfaz de administración de Serv-U solo a usuarios autorizados y configurar firewalls para bloquear el tráfico no autorizado. Monitorear los registros de Serv-U en busca de actividades sospechosas también puede ayudar a detectar y responder a posibles intentos de explotación. Después de la actualización, confirme la corrección verificando que la creación de usuarios administrativos no sea posible sin las credenciales adecuadas.
Actualice SolarWinds Serv-U a la versión 15.5.4 o posterior. La actualización corrige la vulnerabilidad de control de acceso que permite la ejecución remota de código. Consulte las notas de la versión para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-40538 is a critical Remote Code Execution vulnerability in SolarWinds Serv-U, allowing attackers to execute arbitrary code with privileged access.
You are affected if you are running SolarWinds Serv-U versions 15.5.3 or earlier. Upgrade to 15.5.4 or later to mitigate the risk.
Upgrade SolarWinds Serv-U to version 15.5.4 or later. Back up your data before upgrading.
While no public exploits are currently known, the vulnerability's severity suggests a high probability of exploitation. Monitor security advisories.
Refer to the official SolarWinds security advisory for detailed information and updates: [https://www.solarwinds.com/securityadvisories](https://www.solarwinds.com/securityadvisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.