SolarWindsは、同社のITヘルプデスクソフトウェア「Web Help Desk」に存在する重大な認証バイパスおよびリモートコマンド実行の脆弱性を修正するためのセキュリティアップデートを公開しました。
SolarWindsが本日修正した認証バイパスの脆弱性(CVE-2025-40552およびCVE-2025-40554として追跡)は、watchTowrのPiotr Bazydlo氏によって報告されたもので、リモートの未認証の脅威アクターが低い複雑性の攻撃で悪用できる可能性があります。
Bazydlo氏はまた、信頼できないデータのデシリアライズの弱点に起因する重大なリモートコード実行(RCE)の欠陥(CVE-2025-40553)も発見して報告しており、権限のない攻撃者が脆弱なホスト上でコマンドを実行できる可能性があります。
Horizon3.aiのセキュリティ研究者Jimi Sebree氏が報告した2つ目のRCE脆弱性(CVE-2025-40551)も、未認証の攻撃者がリモートでコマンドを実行できる可能性があります。
本日、SolarWindsはSebree氏が発見した高深刻度のハードコードされた認証情報の脆弱性(CVE-2025-40537)も修正しました。これは、詳細不明の状況下で、低権限の脅威アクターに管理機能への不正アクセスを許す可能性があります。
同社は、これらのセキュリティ上の欠陥に対処するWeb Help Desk 2026.1へ脆弱なサーバーをアップグレードするための詳細な手順を提供しています。
ハッカーがWeb Help Deskのセキュリティ脆弱性を攻撃で頻繁に悪用してきたため、管理者はできるだけ早くデバイスにパッチを適用するよう推奨されます。
例えば9月には、SolarWindsは、CISAが1年以上前に攻撃で積極的に悪用されているとして警告し、悪用されたセキュリティバグのカタログに追加したうえで、連邦機関に対して3週間以内にシステムを保護するよう命じたWHDのRCE欠陥に対するWHD RCEの脆弱性について、2回目のパッチ回避(CVE-2025-26399)を解消しました。
当時、SolarWindsは、この脆弱性について「CVE-2024-28988のパッチ回避であり、CVE-2024-28988はさらにCVE-2024-28986のパッチ回避である」と述べていました。
CISAはまた、2024年10月に重大なWeb Help Deskのハードコードされた認証情報の脆弱性を攻撃で積極的に悪用されているとしてタグ付けし、政府機関に対して再びデバイスへのパッチ適用を求めました。
Web Help Desk(WHD)は、ヘルプデスク管理のために、大企業、医療機関、教育機関、政府機関で広く利用されています。SolarWindsによれば、同社のIT管理製品は世界中で30万社以上の顧客に利用されています。
