CVE-2025-26399 betrifft den SolarWinds Web Help Desk, eine bei vielen US-Behörden eingesetzte Plattform für IT-Service-Management. Sie wird unter anderem für Ticketing und Asset-Tracking genutzt und zentralisiert die IT-Support-Abläufe. Die CISA setzte allen zivilen Bundesbehörden eine Frist bis Donnerstag, um die kritische Lücke zu schließen.
Entdeckt wurde die Schwachstelle von der Zero Day Initiative von Trend Micro. Seither warnen Sicherheitsforscher davor, dass sie ausgenutzt wird. Mehrere Fachleute führen das Problem auf eine bereits 2024 entdeckte Schwachstelle zurück; CVE-2025-26399 ist der dritte Behebungsversuch für diesen Bug.
“Bei diesem dritten Patch-Anlauf wird sich erst noch zeigen, ob die Lücke ins Visier von Angreifern gerät und tatsächlich ausgenutzt wird”, sagte Scott Caveza, Senior Staff Research Engineer bei Tenable.
Es ist das dritte Mal innerhalb eines Monats, dass die CISA allen zivilen Bundesbehörden die sofortige Behebung einer Schwachstelle im SolarWinds Web Help Desk vorschreibt. Anfang Februar blieben den Behörden für eine andere Lücke in der Software nur vier Tage, zwei Wochen später wurde für einen weiteren Bug eine Frist von drei Tagen gesetzt.
SolarWinds-Software ist bei Dutzenden Bundesbehörden im Einsatz und war zuvor Ziel russischer Hacker im Rahmen eines der größten staatlich gelenkten Angriffe in der Geschichte der USA.
Neben CVE-2025-26399 nahm die CISA zwei weitere Schwachstellen in ihren Katalog ausgenutzter Sicherheitslücken auf, die Bundesbehörden binnen zwei Wochen schließen müssen. Für nahezu alle Einträge in diesem Katalog gilt sonst eine Frist von drei Wochen; nur in seltenen Fällen wurde sie bislang verkürzt.
Einer dieser Bugs, CVE-2026-1603, betrifft ein Produkt des IT-Unternehmens Ivanti und wird laut Sicherheitsverantwortlichen seit Mitte Februar ausgenutzt. Ein Google-Bericht zu Zero-Day-Schwachstellen stellte fest, dass chinesische staatlich gelenkte Angreifer Ivanti im Verlauf des Jahres 2025 wiederholt mit neuartigen Bugs attackierten, um in Ivanti-Werkzeuge einzudringen.
