Trusted DesignCVE-2025-40536 の詳細
CVEの情報
説明:
SolarWinds Web Help Desk was found to be susceptible to a security control bypass vulnerability that if exploited, could allow an unauthenticated attacker to gain access to certain restricted functionality.
CVE更新日: 2026-01-28 08:16:01.893000
CVSSバージョン: 3.1
CVSSスコア: 8.1
KEVの情報
KEV更新日: 2026-02-12
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.680540000
EPSS更新日: 2026-03-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE-2025-40536 は SolarWinds Web Help Desk に存在するセキュリティ制御バイパス脆弱性。認証なしで制限された機能へアクセス可能となる。CVSS 3.1 は 9.8(Critical)。影響範囲は Web Help Desk 2026.1 未満。 【1. 脆弱性の概要】 ■ 影響 - 認証不要で制限された機能へアクセス可能。 - 情報漏洩・改ざん・サービス停止の可能性。 - Microsoft Defender によると、WHD のインターネット公開環境が攻撃に悪用されている事例がある。 ■ 深刻度 - CVSS 3.1:9.8(Critical) - CVSS 4.0:NVD 未評価 【2. 対象となる環境】 ■ 影響バージョン - SolarWinds Web Help Desk 2026.1 未満 ■ OS - Java ベースで複数 OS に対応 - OS 依存の詳細は不明 ■ 設定 - インターネット公開環境で悪用リスクが高い - 特定設定依存は不明 【3. 影響を受けた時の兆候】 - 公開 IOC はなし - 認証なしの管理系アクセス - 設定変更・情報漏洩・サービス停止の可能性 【4. 推奨対策】 ■ 本対策 - Web Help Desk を 2026.1 へアップデート - SolarWinds の公式アドバイザリに従う ■ 暫定回避策 - インターネット公開を避ける - WAF によるアクセス制御 - 不審なログの監視