概要

SolarWindsは、そのファイル転送ソフトウェアであるServ-Uに存在する4つの深刻なセキュリティ脆弱性を修正するために更新をリリースしました。これらの脆弱性が悪用された場合、リモートコード実行につながる可能性があります。

脆弱性の詳細

SolarWindsは、CVSS評価システムで9.1と評価されている4つの深刻な脆弱性を修正しました。以下にリストしたCVE番号に対応する脆弱性について詳しく説明します。

• CVE-2025-40538 – アクセス制御が欠けているため、攻撃者がシステム管理者ユーザーを作成し、ドメイン管理者またはグループ管理者の権限を使用して任意のコードを実行できる脆弱性。
• CVE-2025-40539 – 型混同により、攻撃者が任意のネイティブコードをルートとして実行できる脆弱性。
• CVE-2025-40540 – 同じく型混同により、攻撃者が任意のネイティブコードをルートとして実行できる脆弱性。
• CVE-2025-40541 – 不適切な直接オブジェクト参照（IDOR）により、攻撃者がネイティブコードをルートとして実行できる脆弱性。

影響範囲と対策

SolarWindsは、これらの脆弱性が悪用されるためには管理者権限が必要であることを指摘しています。また、Windowsデプロイでは「通常、サービスはより低い特権のサービスアカウントで実行されている」という点から中程度のセキュリティリスクと評価されています。

対策版

これらの脆弱性は、SolarWinds Serv-Uバージョン15.5に影響を及ぼします。修正された最新版であるServ-U 15.5.4が利用可能です。

元記事: https://thehackernews.com/2026/02/solarwinds-patches-4-critical-serv-u.html