SolarWindsは2026年2月24日、ファイル転送製品Serv-U(Serv-U MFT / Serv-U FTP Server)の最新版としてServ-U 15.5.4を公開し、複数の改善点とともに4件の重大なリモートコード実行(RCE)脆弱性を修正したとリリースノートで明らかにしました。4件はいずれもCVSS 9.1(Critical)で、悪用されるとroot権限で任意コード実行に至り得る内容が含まれます。
概要
Serv-U 15.5.4では、File Share機能でのダウンロード履歴の再導入や、最終更新日時に時刻表示を含める改善、さらにUbuntu 24.04 LTSのサポートが追加されました。あわせて「Security improvements」「Functionality fixes」を含む一般改善も記載されています。
最も重要な更新点は脆弱性修正で、リリースノート上でCVE-2025-40538 / 40539 / 40540 / 40541の4件が「Fixed CVEs」として列挙されています。
影響
修正対象の4件はいずれも「RCE(Remote Code Execution)」として記載され、内容は以下のとおりです。
-
CVE-2025-40538:アクセス制御不備により、攻撃者がシステム管理者ユーザーを作成し、ドメイン管理者またはグループ管理者権限を経由してrootで任意コード実行に至る可能性
-
CVE-2025-40539 / CVE-2025-40540:Type Confusionにより、rootで任意のネイティブコード実行に至る可能性
-
CVE-2025-40541:IDOR(Insecure Direct Object Reference)により、rootでネイティブコード実行に至る可能性
Serv-UはMFT/FTP基盤として外部公開されることが多く、侵害された場合はファイル持ち出しや踏み台化に直結しやすい領域です。とくに「rootでの任意コード実行」は、単発のサービス停止に留まらず、周辺ネットワークへの横展開リスクを高めます。
対応
-
Serv-Uを15.5.4へ更新(MFT/FTPは外部公開されがちなため優先度は高め)
-
更新後に、管理者・ドメイン管理者・グループ管理者相当の権限が付与されたアカウントを棚卸しし、不要な権限の削減を行う
-
監査ログ(管理者操作、ユーザー作成、設定変更、異常なファイル操作)を重点的に確認し、兆候があればインシデント対応へ移行する
併せて確認したいEoL情報
SolarWindsは同じリリースノート内で、旧版のサポート終了スケジュールも示しています。たとえば**15.5.1以前は2026年2月18日にEoE(開発・修正提供終了)**に到達しており、2026年11月18日にEoLとされています。旧版利用を継続している場合、セキュリティ観点でのリスクが上がるため、更新計画の前倒しが必要です。








