SolarWinds、Serv-Uの3つの重大な脆弱性に対するパッチを公開

SolarWindsは今週、同社のServ-Uエンタープライズファイル転送ソリューションに発見された3つの重大な脆弱性に対するパッチを発表しました。

これらの脆弱性のうち1つは、CVE-2025-40549として追跡されており、パス制限のバイパス問題で、管理者権限を持つ脅威アクターによってディレクトリ上で任意のコードを実行される可能性があります。

ベンダーは、Windowsシステムでは「パスやホームディレクトリの扱いの違い」により、この脆弱性の深刻度が「中程度」と評価されていることを指摘しています。

2つ目の脆弱性は、CVE-2025-40548で、アクセス制御の不備により、管理者権限を持つ攻撃者が任意のコードを実行できる問題です。

3つ目の脆弱性であるCVE-2025-40547は、ロジックエラーであり、管理者権限を持つ攻撃者によってコード実行に悪用される可能性があります。

CVE-2025-40547およびCVE-2025-40548の両方について、SolarWindsは、サービスがデフォルトで特権の低いアカウントで実行されることが多いため、Windows上での深刻度評価は「中程度」であると述べています。

これら3つのセキュリティホールはSolarWinds Serv-U 15.5.2.2.102に影響し、バージョン15.5.3のリリースで修正されました。

SolarWindsは今週、Observability Self-Hostedにおける中程度の深刻度のオープンリダイレクトおよびXSS脆弱性に対するパッチも発表しました。

脅威アクターがSolarWinds製品の脆弱性を攻撃に悪用することは珍しくなく、Serv-Uの脆弱性も含まれます。

サイバーセキュリティ機関CISAが管理する既知の悪用済み脆弱性（KEV）カタログには、現在、Web Help Desk、Orion、Virtualization Manager、Serv-Uに影響するものを含む7件のSolarWindsの脆弱性が掲載されています。