検出

SolarWinds Serv-U 15.5.3 複数の脆弱性

critical Nessus プラグイン ID 275612

Language:

概要

SolarWinds Serv-U は、脆弱性の影響を受けます

説明

リモートホストにインストールされている SolarWinds Serv-U のバージョンは、15.5.3 より前です。したがって、solariwinds_serv-u_15_5_3アドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Serv-U にパス制限バイパスの脆弱性が存在し、これが悪用された場合、管理者権限にアクセスできる悪意のある攻撃者が、ディレクトリでコードを実行できる権限を与える可能性があります。この問題は管理者権限が必要です。Windows システムでは、パスとホームディレクトリの処理方法の違いにより、これは重要度中としてスコアされています。CVE-2025-40549

 - 論理エラーの脆弱性がServ-Uにあり、これが悪用されたとき、管理者権限にアクセスできる悪意のある攻撃者がコードを実行する可能性があります。この問題は管理者権限が必要です。Windows 環境では、 サービスはデフォルトで権限の低いサービスアカウントで頻繁に実行されるため、リスクは重要度中としてスコアされます。CVE-2025-40547

 - 悪用された場合、Serv U に欠如している検証プロセスが存在し、これによって管理者権限にアクセスできる悪意のある攻撃者が、コードを実行できるようになります。この問題は管理者権限が必要です。Windows 環境では、 サービスはデフォルトで権限の低いサービスアカウントで頻繁に実行されるため、リスクは重要度中としてスコアされます。CVE-2025-40548

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

SolarWinds Serv-U バージョン 15.5.3 または以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?8dce3b48

http://www.nessus.org/u?e62ec2d0

http://www.nessus.org/u?d35c90f4

プラグインの詳細

深刻度: Critical

ID: 275612

ファイル名: solarwinds_solarwinds_serv-u_15_5_3.nasl

バージョン: 1.2

タイプ: remote

ファミリー: FTP

公開日: 2025/11/18

更新日: 2025/11/21

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.1

CVSS v2

リスクファクター: High

基本値: 8.3

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-40549

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:solarwinds:serv-u, cpe:/a:serv-u:serv-u, cpe:/a:solarwinds:serv-u_file_server

必要な KB アイテム: installed_sw/Serv-U

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/11/18

脆弱性公開日: 2025/11/18

参照情報

CVE: CVE-2025-40547, CVE-2025-40548, CVE-2025-40549

IAVA: 2025-A-0873