CISA、SolarWinds Web Help Deskの脆弱性がサイバー攻撃への悪用確認(CVE-2025-40551)

セキュリティニュース

投稿日時: 更新日時:

CISAがSolarWinds Web Help Deskの脆弱性のサイバー攻撃への悪用確認(CVE-2025-40551)

米CISAが、SolarWinds Web Help Desk(WHD)の致命的なリモートコード実行(RCE)脆弱性CVE-2025-40551について、実際に攻撃で悪用されているとしてKnown Exploited Vulnerabilities(KEV)カタログに追加しました。連邦機関(FCEB)に対しては、追加日である2026年2月3日から起算して短期間での是正が求められ、期限は2026年2月6日とされています。

概要

CVE-2025-40551は、デシリアライズ(信頼できないデータの復元)に起因する脆弱性で、未修正のWHDに対して認証不要でRCEに至る可能性がある、極めて危険度の高いタイプです。SolarWindsは2026年1月28日にWHD 2026.1で修正し、脆弱性の説明として、攻撃者がホスト上でコマンド実行できる可能性を示しています。

製品の性質上、WHDは情シスの運用基盤(チケット、資産管理、作業依頼の窓口)になりやすく、侵害されると認証情報や内部情報の踏み台化、横展開につながりやすい点が厄介です。CISAも、連邦機関に限らず民間を含むネットワーク防御側へ迅速なパッチ適用を促しています。

原因

原因は、アプリケーションが外部から与えられたデータを安全性の担保なくデシリアライズしてしまう設計・実装上の問題です。この系統は、条件がそろうと認証を迂回して任意コード実行に直結しやすく、公開サーバやVPN越しに到達可能な管理系システムで特に狙われます。今回も、研究者により不正なデータ処理が成立し得ることが報告され、実際に悪用が観測されたことでCISAのKEV入りに至っています。

脆弱性の対象バージョン

対象はSolarWinds Web Help Desk(WHD)12.8.8 HF1およびそれ以前の全バージョンです。

CVE-2025-40551は信頼されていないデータのデシリアライズに起因し、未修正環境では認証不要でリモートコード実行(RCE)に至る可能性があるとされています。

対策バージョン

対策はSolarWinds Web Help Desk 2026.1へのアップデートです。

SolarWindsは2026年1月28日に2026.1で修正を提供しており、CISAも本脆弱性をKEV(実際に悪用が確認された脆弱性)に追加し、迅速な適用を求めています