SolarWinds、高リスクの複数の脆弱性を修正(CVE-2025-40547,CVE-2025-40548,CVE-2025-40549)

セキュリティニュース

投稿日時: 更新日時:

SolarWinds、高リスクの複数の脆弱性を修正(CVE-2025-40547,CVE-2025-40548,CVE-2025-40549)

2025年11月18日、SolarWindsは、ファイル転送サーバー製品「Serv-U」の最新版 15.5.3 を公開しました。今回の更新では、ED25519公開鍵署名方式の全面サポートや、IPブロックの適用拡張アカウントロックアウトの既定有効化など多数のセキュリティ強化に加え、クリティカル(CVSS 9.1)なリモートコード実行(RCE)を含む複数の脆弱性が修正されています。あわせてサブスクリプションモデルにも対応しました。

修正された脆弱性(抜粋)

  • CVE-2025-40547(RCE/ロジックエラー)CVSS 9.1(Critical)
    管理者権限を持つ攻撃者が悪用した場合、任意コード実行に至る可能性。
    ※Windowsではサービスが低権限で動作する既定が多く、実効リスクは相対的に低い旨の注記あり。

  • CVE-2025-40548(RCE/アクセス制御不備)CVSS 9.1(Critical)
    検証欠落により、管理者権限保有者がコード実行に到達し得る問題。
    ※上記と同様、Windows環境では相対的にリスク低下の注記。

  • CVE-2025-40549(パス制限バイパス)CVSS 9.1(Critical)
    パス制限の回避により、管理者権限保有者が特定ディレクトリでコード実行し得る問題。
    ※研究者 Maurice Moss に謝意表明。

いずれも「管理者権限が前提」の悪用シナリオですが、内部不正や侵害後の横展開を強力に後押しし得るため、早期のアップデートが推奨されます。

不具合修正の主なポイント

  • MFA後にWeb Client/File Sharing無効のユーザーで誤警告が再表示される問題を修正

  • リスナー設定が無視される事象を解消し、クライアント接続の受け入れを安定化

  • ASCIIユーザー名の大小文字をケース非依存でカウントし、ブルートフォース上限超過を防止

  • 細工URLによるXSS生成のブロックなど、CSP(Content-Security-Policy)順守を強化

    • unsafe-inline除去、style要素にnonce適用、仮想スクロールから標準Nova-UIテーブルへ移行 ほか

  • LDAP連携やODBC接続、Windowsログオントークンのクリーンアップ等の安定性改善

導入・アップグレード

  • 新規インストール:SolarWindsサイトまたはカスタマーポータルから入手。

  • アップグレード手順:公式ドキュメント「Upgrade Serv-U File Server」を参照。

運用者向け即応チェックリスト

  1. 15.5.3へ更新(テスト環境での事前検証推奨)

  2. ED25519鍵の導入(サーバーホスト鍵・ユーザー公開鍵)

  3. 既定で有効化されたロックアウト/接続制限の閾値を環境に合わせて再設定

  4. HSTSCSPの適用状態を確認し、リバースプロキシ配下のX-Forwarded-For整合性を点検

  5. 管理者アカウントの棚卸し、最小権限・MFA徹底、監査ログの閾値見直し

サポート期間とEoL(抜粋)

  • 15.5系

    • EoE(開発終了):2025年10月8日

    • EoL(サポート終了):2026年10月8日

  • 15.4.2以前:順次EoLアナウンス済み。旧版利用中の組織は最新への移行計画が推奨されます。

最新の脅威動向から実務に直結する対策まで、情シス・セキュリティ担当者向けのセミナー/イベント情報を厳選して掲載しています。開催形式(オンライン/現地)、対象レベル、分野別で探せます。まずは一覧からご確認ください。