出典: Security NEXT – https://www.security-next.com/181429
ファイル転送製品「SolarWinds Serv-U」に複数RCE脆弱性
ファイル転送製品「SolarWinds Serv-U」に複数RCE脆弱性
SolarWindsは現地時間2026年2月24日、マネージドファイル転送ソリューション「SolarWinds Serv-U MFT」やエンタープライズ向けFTPサーバ「SolarWinds Serv-U FTP Server」のアップデートを公開した。「クリティカル(Critical)」とされる複数の脆弱性を解消している。
今回のアップデートでは、ファイル共有でダウンロード履歴が利用できるようになるなど機能強化を実施したほか、CVEベースで4件の脆弱性に対処した。いずれも悪用されるとリモートよりroot権限で任意のコードが実行されるおそれがある。
具体的には、アクセス制御の不備によりシステム管理者のユーザーを作成でき、ドメイン管理者やグループ管理者としてコードの実行が可能となる「CVE-2025-40538」に対処した。
さらに型の取り違えの脆弱性「CVE-2025-40539」「CVE-2025-40540」や、安全ではない直接オブジェクト参照の脆弱性「CVE-2025-40541」に対応している。
共通脆弱
