米CISAが、SolarWinds Web Help Desk(WHD)の致命的なリモートコード実行(RCE)脆弱性CVE-2025-40551について、実際に攻撃で悪用されているとしてKnown Exploited Vulnerabilities(KEV)カタログに追加しました。連邦機関(FCEB)に対しては、追加日である2026年2月3日から起算して短期間での是正が求められ、期限は2026年2月6日とされています。
概要
CVE-2025-40551は、デシリアライズ(信頼できないデータの復元)に起因する脆弱性で、未修正のWHDに対して認証不要でRCEに至る可能性がある、極めて危険度の高いタイプです。SolarWindsは2026年1月28日にWHD 2026.1で修正し、脆弱性の説明として、攻撃者がホスト上でコマンド実行できる可能性を示しています。
製品の性質上、WHDは情シスの運用基盤(チケット、資産管理、作業依頼の窓口)になりやすく、侵害されると認証情報や内部情報の踏み台化、横展開につながりやすい点が厄介です。CISAも、連邦機関に限らず民間を含むネットワーク防御側へ迅速なパッチ適用を促しています。
原因
原因は、アプリケーションが外部から与えられたデータを安全性の担保なくデシリアライズしてしまう設計・実装上の問題です。この系統は、条件がそろうと認証を迂回して任意コード実行に直結しやすく、公開サーバやVPN越しに到達可能な管理系システムで特に狙われます。今回も、研究者により不正なデータ処理が成立し得ることが報告され、実際に悪用が観測されたことでCISAのKEV入りに至っています。
脆弱性の対象バージョン
対象はSolarWinds Web Help Desk(WHD)12.8.8 HF1およびそれ以前の全バージョンです。
CVE-2025-40551は信頼されていないデータのデシリアライズに起因し、未修正環境では認証不要でリモートコード実行(RCE)に至る可能性があるとされています。
対策バージョン
対策はSolarWinds Web Help Desk 2026.1へのアップデートです。
SolarWindsは2026年1月28日に2026.1で修正を提供しており、CISAも本脆弱性をKEV(実際に悪用が確認された脆弱性)に追加し、迅速な適用を求めています








に未認証リモートコード実行の脆弱性(CVE-2025-48703)、20万以上のサーバーが対象-200x200.png)