Verschillende kritieke kwetsbaarheden in SolarWinds Serv-U geven een aanvaller roottoegang tot de FTP-server. SolarWinds heeft een beveiligingsupdate uitgebracht om de problemen te verhelpen. SolarWinds Serv-U is software waarmee organisaties een server kunnen opzetten om bestanden via FTP, FTPS en SFTP uit te wisselen. In het verleden zijn meerdere kwetsbaarheden in het product actief misbruikt bij aanvallen. Het ging onder andere om ransomware-aanvallen, aldus het Amerikaanse cyberagentschap CISA.

Vandaag waarschuwt SolarWinds voor vier nieuwe kritieke kwetsbaarheden waardoor een ongeauthenticeerde aanvaller code als root kan uitvoeren, en zo volledige controle over de FTP-server krijgt. Het gaat om Insecure Direct Object Reference (IDOR), type confusion en ‘broken access control’ kwetsbaarheden, aangeduid als CVE-2025-40538, CVE-2025-40539, CVE-2025-40540 en CVE-2025-40541. De impact van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. SolarWinds is niet bekend met misbruik van de problemen en roept klanten op om naar Serv-U 15.5.4 te updaten.