SolarWindsは2026年1月28日、ITヘルプデスク製品「Web Help Desk(WHD)」の最新版「WHD 2026.1」を公開しました。今回のリリースでは、言語・フレームワーク刷新と新UI(NextGen WHD)を含む機能更新に加え、認証バイパスや未認証で悪用可能なリモートコード実行(RCE)を含む複数の脆弱性 修正が含まれます。WHDは企業や教育機関、医療機関、行政などで広く利用されていることから、運用環境の管理者には早急な更新が求められます。
目次
修正された脆弱性の概要(CVE-2025-40536/40537/40551/40552/40553/40554)
WHD 2026.1で修正された主な脆弱性は以下の通りです。SolarWindsのリリースノートでは、未認証で制限機能に到達できる可能性や、ハードコードされた認証情報、さらに信頼できないデータのデシリアライズを起点とするRCE、認証回避といった深刻な問題が列挙されています。
-
CVE-2025-40551(Critical):信頼できないデータのデシリアライズにより、未認証の攻撃者がリモートでコマンド実行に至る恐れ
-
CVE-2025-40553(Critical):同じくデシリアライズを起点としたRCE(未認証で悪用可能なシナリオが想定)
-
CVE-2025-40552(Critical):認証バイパスにより、本来認証が必要な操作・メソッドを実行できる恐れ
-
CVE-2025-40554(Critical):認証バイパスにより、特定のアクションを呼び出せる恐れ
-
CVE-2025-40536(High):セキュリティ制御のバイパスにより、未認証で一部の制限機能へアクセスできる恐れ
-
CVE-2025-40537(High):ハードコードされた認証情報により、条件次第で管理機能へのアクセスにつながる恐れ
報告者として、Horizon3.aiの研究者(Jimi Sebree氏)およびwatchTowr(Piotr Bazydlo氏)のクレジットが記載されています。
攻撃の成立条件と懸念点 「未認証・低難度」で到達するケースも
認証バイパス系の不具合(CVE-2025-40552/40554)は、リモートかつ未認証の攻撃者が、低い攻撃難度で悪用できる可能性が示されています。またRCE系(CVE-2025-40551/40553)は、WHDの特定機能が内部で利用する仕組み(デシリアライズ処理など)を突くことで、権限不要でホスト上のコマンド実行に至る恐れがあるとされます。
WHDはインターネットに公開されたまま運用されるケースもあるため、攻撃者のスキャン対象になりやすい点がリスクです。過去にもWHD関連の脆弱性は悪用が取り沙汰されており、「パッチ適用の遅れ」がそのまま侵害リスクに直結しやすい状況が続いています。
Horizon3.aiの分析:既知の経路に「回避」や「連鎖」が重なる構図
Horizon3.aiの技術解説では、今回の一連の問題は単体で完結するというより、複数の弱点が組み合わさることで攻撃の成立範囲が広がるとして説明されています。
例として、初期セットアップ時に作られるデモ用アカウント(例:既定のクライアント資格情報)が環境によっては想定外の権限に結び付く可能性、Webアプリ側のリクエストフィルタ/CSRFチェックのバイパス、さらに特定コンポーネント到達を“近道”する挙動などが言及されています。
加えて、過去から問題となってきたAjaxProxy周辺の流れと同様に、「安全化のための処理があっても、条件次第で迂回され得る」点が焦点になっています。なお、同社は再現性を示しつつも、即時悪用を助長しないよう、詳細な手順の一部は伏せています。
対策:WHD 2026.1への更新が最優先 加えて初期設定・露出面の見直しも
SolarWindsは、脆弱性を修正したWHD 2026.1へのアップグレードを案内しています。まずは資産棚卸しでWHDの稼働有無とバージョンを確認し、段階的に更新計画を立てることが現実的です。
あわせて、運用面では次のような対策が重要になります。
-
インターネットへの直公開を避ける(VPN配下、踏み台、アクセス制御、WAF配備など)
-
既定アカウント/既定パスワードの排除(デモ用アカウントを本番で使わない、管理者パスワードの変更)
-
不審なリクエストや異常動作の監視強化(急増するリクエスト、エラー、想定外の管理機能アクセスなど)
-
適用後もホットフィックス確認(配布される修正が追加される可能性を前提に運用)
WHD 2026.1はNextGen UIを含む刷新も行われていますが、環境によっては互換性や一部機能制限(例:認証方式やOS対応)に注意が必要です。








