概要

SolarWindsは、同社のWeb Help Desk製品において、認証バイパスやリモートコード実行（RCE）につながる4つのクリティカルな脆弱性を含む複数のセキュリティ脆弱性を修正するセキュリティアップデートをリリースしました。これらの脆弱性は、Web Help Desk (WHD) 2026.1で対処されています。

主要な脆弱性の詳細

今回のアップデートで修正された主な脆弱性は以下の通りです。

• CVE-2025-40536 (CVSSスコア: 8.1): セキュリティ制御バイパスの脆弱性で、認証されていない攻撃者が特定の制限された機能にアクセスできる可能性があります。
• CVE-2025-40537 (CVSSスコア: 7.5): ハードコードされた認証情報の脆弱性で、「client」ユーザーアカウントを使用して管理機能にアクセスされる可能性があります。
• CVE-2025-40551 (CVSSスコア: 9.8): 信頼できないデータ逆シリアル化の脆弱性で、認証されていない攻撃者がホストマシン上でコマンドを実行できるリモートコード実行につながる可能性があります。
• CVE-2025-40552 (CVSSスコア: 9.8): 認証バイパスの脆弱性で、認証されていない攻撃者がアクションやメソッドを実行できる可能性があります。
• CVE-2025-40553 (CVSSスコア: 9.8): 信頼できないデータ逆シリアル化の脆弱性で、認証されていない攻撃者がホストマシン上でコマンドを実行できるリモートコード実行につながる可能性があります。
• CVE-2025-40554 (CVSSスコア: 9.8): 認証バイパスの脆弱性で、攻撃者がWeb Help Desk内で特定の行動を呼び出すことが可能になります。

これらの脆弱性は、Horizon3.aiのJimi Sebree氏とwatchTowrのPiotr Bazydlo氏によって発見され、報告されました。

リモートコード実行 (RCE) の深刻性

特にCVE-2025-40551とCVE-2025-40553は、信頼できないデータの逆シリアル化に起因するクリティカルな脆弱性であり、リモートの認証されていない攻撃者が標的システム上でRCEを達成し、任意のOSコマンド実行などのペイロードを実行できるとされています。Rapid7は、認証なしで悪用可能であるため、その影響は極めて重大であると述べています。

また、認証バイパス脆弱性であるCVE-2025-40552とCVE-2025-40554も、RCEを取得するために悪用され、他の逆シリアル化RCE脆弱性と同じ影響をもたらす可能性があると指摘されています。

過去の脆弱性とCISAの警告

SolarWinds Web Help Deskソフトウェアでは、近年もCVE-2024-28986、CVE-2024-28987、CVE-2024-28988、CVE-2025-26399といった複数の脆弱性修正が行われてきました。特に、CVE-2025-26399はCVE-2024-28988のパッチバイパス、CVE-2024-28988はCVE-2024-28986のパッチバイパスという形で、連鎖的な修正が必要となるケースも見られました。

2024年後半には、米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）が、CVE-2024-28986とCVE-2024-28987を既知の悪用されている脆弱性（KEV）カタログに追加しており、これらの脆弱性が実際に悪用されている証拠があることを示しています。

Horizon3.aiのSebree氏は、今回のCVE-2025-40551もまたAjaxProxy機能に起因する逆シリアル化脆弱性であり、RCEを達成するためには、有効なセッション確立、LoginPrefコンポーネントの作成、ファイルアップロードアクセス許可、JSONRPCブリッジを介した悪意のあるJavaオブジェクトの作成とそのトリガーという一連の行動が必要になると説明しています。

推奨される対策

過去にWeb Help Deskの脆弱性が攻撃に利用されてきた経緯を鑑み、顧客は迅速にヘルプデスクおよびITサービス管理プラットフォームの最新バージョンであるWHD 2026.1へアップデートすることが不可欠です。

---

元記事: https://thehackernews.com/2026/01/solarwinds-fixes-four-critical-web-help.html