SolarWinds Web Product Flaw Allows Attackers to Bypass Security and Execute Code
2026/01/29 gbhackers — SolarWinds Web Help Desk において、認証を必要とせずにセキュリティ保護を回避してリモート・コード実行 (RCE) に至る、深刻な脆弱性チェーン CVE-2025-40536/CVE-2025-40537/CVE-2025-40551 が確認された。これらの脆弱性は Horizon3.ai の Jimi Sebree により 2026年1月28日に公開されたものであり、この IT サービス管理プラットフォームを長年悩ませてきた、デシリアライゼーション問題に対する過去のパッチを再び回避するものである。
重大な脆弱性の詳細
| CVE Identifier | Vulnerability Type | CVSS Score | Authentication Required |
|---|---|---|---|
| CVE-2025-40551 | Deserialization of Untrusted Data (RCE) | 9.8 Critical | No |
| CVE-2025-40536 | Security Protection Bypass | Not specified | No |
| CVE-2025-40537 | Static Default Credentials | Not specified | No |
中核となる脆弱性である CVE-2025-40551 は、AjaxProxy 機能における信頼されないデータのデシリアライゼーション処理の不備に起因する。
この脆弱性を悪用する攻撃者は、認証を行うことなくホストマシン上での任意のコマンド実行を可能とするため、システム全体が完全に侵害される恐れがある。この脆弱性は、攻撃ベクター/攻撃難易度/影響範囲のすべてにおいて、最大級の深刻度を示す CVSS スコア 9.8 を有している。
この攻撃は、複数の脆弱性を連鎖させることで、認証不要のリモート・コード実行を実現する。最初に攻撃者は、ログインページへアクセスして匿名セッションを開始し、その後に CVE-2025-40536 を悪用して、URI パラメータに “/ajax/” という偽の値を注入することでクロスサイト・リクエスト・フォージェリ (Cross-Site Request Forgery:CSRF) 保護を回避する。このバイパスにより、通常は認証を必要とする制限付き WebObjects コンポーネントへのアクセスが可能となる。
セキュリティ保護を回避した攻撃者は、”wopage” パラメータを使用して、WebObjects コンポーネントをオン・デマンドで生成できるようになる。具体的には LoginPref コンポーネントが生成され、これにより有効な AjaxProxy インスタンスが作成される。このインスタンスが確立されると、ファイル・アップロードや動的メソッド実行に使用される、JSON-RPC ブリッジ機能へのアクセスが可能となる。
CVE-2025-40551 は、jabsorb JSON-RPC ライブラリ実装における、設計上の弱点の悪用を許すものである。過去のパッチでは、リクエスト URI に “ajax” という文字列が含まれていないことを確認するサニタイズ処理が追加されていた。しかし研究者は、URI パスを “ajax” から “wo” に変更しても、同一の機能が維持されることを突き止め、この変更によりサニタイズ・ロジックの完全な回避が可能なことを確認した。
さらに、既存のブラックリスト処理は、JSON ペイロードの先頭にホワイトリスト登録済み用語を取り込むことで回避が可能であり、これにより悪意の Java オブジェクトを注入し、リモート・コード実行を引き起こすことが可能になる。
この開示が示すのは、SolarWinds Web Help Desk におけるデシリアライゼーション脆弱性に対して、不十分なパッチ適用が繰り返されてきたことである。
時系列で見ると、2024年8月に CVE-2024-28986 が公開され、直ちに CISA の Known Exploited Vulnerabilities (KEV) カタログに追加された。その後に、バイパスが発見されたことで CVE-2024-28988 が公開され、さらに 2025年9月には別のバイパスとして CVE-2025-26399 が報告された。今回の CVE-2025-40551 は、これら過去の修正を再び回避する、新たな事例に対処するものである。
SolarWinds Web Help Desk バージョン 12.8.8 HF1 以下の、すべてのバージョンが今回の脆弱性チェーンの影響を受ける。すでに SolarWinds は、2026年1月28日にバージョン 2026.1 をリリースし、これら 3 件の脆弱性に対処している。
Web Help Desk を運用している組織に対して強く推奨されるのは、直ちに当該バージョンへアップデートし、認証不要のリモート・コード実行のリスクを排除することだ。
SolarWinds の IT サービス管理プラットフォーム Web Help Desk において、認証を一切必要とせずにサーバ上で任意のコマンド実行を可能にする、きわめて深刻な脆弱性チェーンが公開されました。この攻撃は、Horizon3.ai の研究者により特定された、3 つの脆弱性を組み合わせることで成立します。特筆すべきは、過去に何度も修正されてきた問題を、再び回避する手法が用いられ、深刻な侵害に至る点です。
ご利用のチームは、ご注意ください。よろしければ、SolarWinds での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.