つみかさね

CVE-2025-26399

Critical(9.8)

CVE-2025-26399 — SolarWinds Web Help Desk デシリアライゼーションRCE

公開日: 2026-03-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Web Help DeskSolarWinds< 12.8.7 Hotfix 1
CVESolarWindsWeb Help DeskデシリアライゼーションRCECISA KEV

概要

SolarWinds Web Help Deskは広く利用されているITサービス管理・ヘルプデスクソフトウェアです。AjaxProxyエンドポイントに安全でないデシリアライゼーションの脆弱性が存在し、非認証のリモート攻撃者がホストマシン上で任意のコマンドを実行可能です。

この脆弱性はCVE-2024-28988のパッチバイパスであり、CVE-2024-28988自体もCVE-2024-28986のパッチバイパスです。つまり、同一箇所に対して3度目の修正が必要になったケースです。CISA KEV(Known Exploited Vulnerabilities)カタログに掲載されており、Microsoftが悪用確認のブログを公開していることから、実際の攻撃に利用されています。

CVSSベクトル

項目
CVSSスコア9.8
深刻度Critical
CWECWE-502 (安全でないデシリアライゼーション)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Web Help DeskSolarWinds12.8.7 Hotfix 1 未満

修正バージョンと回避策

  • 修正バージョン: Web Help Desk 12.8.7 Hotfix 1
  • 推奨対応: CISA KEVに掲載されており、米国連邦機関は期限内の修正が義務付けられています。該当環境では直ちにパッチを適用してください
  • 注意: CVE-2024-28988のパッチバイパスのため、以前のパッチのみでは対策が不十分です

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2024-28988SolarWinds WHD デシリアライゼーションRCE (前回パッチ)CVSS 9.8CVE-2024-28986SolarWinds WHD デシリアライゼーションRCE (初回)CVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-26399
SolarWinds:https://www.solarwinds.com/trust-center/security-advisories/CVE-2025-26399
CISA KEV:https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-26399
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。