文章总结： 文档深度剖析了SolarWindsServ-U15.5版本中四个CVSS评分高达9.1的超高危漏洞（CVE-2025-40538至40541），包括越权访问、类型混淆和IDOR漏洞。攻击者可组合利用这些漏洞，从低权限管理员逐步提升至Root权限，最终实现远程代码执行。文章强调Linux环境下以Root权限运行风险极高，Windows环境风险相对较低但仍需警惕。建议用户立即升级至15.5.4版本，检查异常日志，并遵循权限最小化原则。 综合评分： 85 文章分类： 漏洞分析,渗透测试,红队,内网渗透,应急响应

从越权到RCE：深度剖析SolarWinds Serv-U 最新4大致命漏洞

原创

Kit Chung Kit Chung

安全圈动向

2026年2月27日 07:57 广东

大家好，如果你做过运维或者网络管理，对 SolarWinds Serv-U 这个老牌文件传输中间件肯定不陌生。这玩意儿在国内企业里用得非常广泛。

就在这两天，SolarWinds 官方紧急发布了安全更新。不鸣则已，一鸣惊人——直接甩出了 4个CVSS评分高达 9.1 的超高危漏洞。一旦被成功利用，攻击者可以直接在服务器上执行远程代码（RCE），而且拿到的还是 Root 级最高权限。

今天咱们就来硬核拆解一下，这4个漏洞到底是怎么回事，黑客又是如何一步步“打穿”防御体系拿shell的。

🚨 漏洞概览：四个直通 Root 的“后门”

这次曝光的四个漏洞都存在于 SolarWinds Serv-U 15.5 版本中。虽然官方声称触发这些漏洞需要一定的管理员权限，但别掉以轻心——从低权限管理员到接管整个服务器的系统管理员（System Admin），黑客只需一个数据包的距离。

我们先来看看这“四大金刚”到底是什么来头：

• CVE-2025-40538（越权访问漏洞）

  允许攻击者通过域管理员（Domain Admin）或组管理员（Group Admin）权限，越权创建一个系统管理员（System Admin）账号，进而以 Root 权限执行任意代码。

• CVE-2025-40539 & CVE-2025-40540（类型混淆漏洞）

  允许攻击者直接以 Root 权限执行任意 Native 代码。

• CVE-2025-40541（不安全的直接对象引用 – IDOR）

  同样能让攻击者以 Root 权限执行 Native 代码。

🔍 攻击路径推演：黑客是如何做到的？

作为技术人，咱们不光要看热闹，还得看门道。这几个漏洞的成因和利用路径非常具有代表性。我给大家简单推演一下这套“组合拳”的底层逻辑。

1. 突破防线：从低权到高权的“越权术” (CVE-2025-40538)

在正常的业务逻辑中，域管理员和组管理员只能管理自己的一亩三分地，是绝对没有权限创建全局的“系统管理员”的。

但由于 访问控制被打破（Broken Access Control），系统在处理创建用户的 API 请求时，没有严格校验发起请求者的身份层级。黑客只需要拿到一个极其普通的低权限管理员账号，构造一个包含特定参数的恶意请求，就能绕过鉴权，直接在系统里“捏”出一个最高权限账号。这是后续 RCE 的重要跳板。

2. 内存里的“移花接木”：类型混淆 (CVE-2025-40539 / 40540)

拿到了高权账号后，怎么执行代码？这就用到了类型混淆（Type Confusion）。

在C/C++这类底层语言编写的程序中，如果程序在运行时将一个对象盲目转换成了不兼容的类型，内存布局就会完全错乱。

攻击者可以通过向服务端发送精心构造的恶意 Payload，诱导程序发生类型混淆。此时，原本普通的数据对象指针，可能会覆盖掉程序的函数指针。当程序试图调用该函数时，控制流就会被劫持到攻击者预先植入的 Shellcode 上。因为 Serv-U 在很多 Linux 环境下是高权限运行的，所以这段被执行的 Native 代码天然就拥有了 Root 权限。

3. 参数篡改的艺术：IDOR (CVE-2025-40541)

IDOR（不安全的直接对象引用）也是老生常谈了。简单来说，就是系统对内部对象（比如某个特权配置文件、某个高危命令执行接口）的调用ID没有做权限隔离。

攻击者只需要抓个包，把请求参数里的 object_id 改成高权限组件的 ID，系统就会傻乎乎地去执行。结合 Serv-U 的底层机制，这直接变成了一条通往 Root 代码执行的高速公路。

🛡️ Windows 逃过一劫？别高兴得太早

细心的朋友可能注意到了官方公告里的一句话：在 Windows 部署环境中，这些漏洞的安全风险被降级为“中等（Medium）”。

为什么？因为 Windows 版本的 Serv-U 在默认配置下，通常使用低权限的服务账号（Service Accounts）来运行，而不是 SYSTEM 权限。所以哪怕黑客 RCE 了，拿到的也只是一个受限的 Shell，还得费劲去提权。

我的建议：

虽然 Windows 下风险相对较低，但防线已经被撕破，内网横向移动（Lateral Movement）只是时间问题。Linux 用户就更不用说了，如果你的 Serv-U 是以 Root 权限跑的，现在就相当于在互联网上“裸奔”。

⚠️ 历史的教训：APT 正在暗中观察

虽然目前官方还没说这些漏洞存在“在野利用（Exploited in the wild）”，但咱们绝不能抱有侥幸心理。

各位老司机应该还记得，Serv-U 之前爆出的高危漏洞（如 CVE-2021-35211、CVE-2024-28995），可是被不少高级持续性威胁（APT）组织当成香饽饽的。比如此前被追踪为 Storm-0322 的黑客组织，就曾利用这些漏洞作为突破口，大肆渗透企业内网。一旦这些新漏洞的 PoC（概念验证代码）被公开，绝对又是一场血雨腥风。

🛠️ 解决方案

千言万语汇成一句话：赶紧打补丁！

• 立刻升级：

  将受影响的 SolarWinds Serv-U 15.5 升级至最新的 15.5.4 版本。

• 日志排查：

  检查近期的 Serv-U 访问日志，重点关注异常的管理员账号创建记录，以及异常的崩溃日志（类型混淆经常会导致进程崩溃重启）。

• 权限最小化：

  无论什么系统，绝对不要让对外网开放的服务以 Root/SYSTEM 权限运行！

技术演进的路上，安全攻防永远是一场没有硝烟的博弈。了解漏洞底层的技术原理，不仅是为了修补系统，更是为了在我们自己写代码、做架构的时候，能少挖点坑。

各位兄弟，你们公司的服务器打补丁了吗？

欢迎在评论区聊聊你们在应急响应中遇到的奇葩事儿！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《从越权到RCE：深度剖析SolarWinds Serv-U 最新4大致命漏洞》