SolarWinds、Web Help Deskにおける重大な脆弱性を複数修正（CVE-2025-40552、CVE-2025-40553他）

nosa

2026.01.29

SolarWinds、Web Help Deskにおける重大な脆弱性を複数修正　認証バイパスやRCE実行を許す恐れ（CVE-2025-40552、CVE-2025-40553他）

BleepingComputer – January 28, 2026

SolarWindsは28日、ITヘルプデスクソフトウェアWeb Help Desk（WHD）の重大な脆弱性に対処するパッチをリリースした。

修正プログラムが提供された脆弱性のうち、認証バイパスを引き起こすCVE-2025-40552とCVE-2025-40554は、セキュリティ企業watchTowrのPiotr Bazydlo氏によって報告された。この欠陥は認証されていないリモートの攻撃者により、複雑度の低い攻撃で悪用される可能性がある。やはり同氏が発見・報告したCVE-2025-40553は、信頼されていないデータのデシリアライズに起因する重大なリモートコード実行（RCE）の脆弱性と説明された。

もう1つのRCE脆弱性CVE-2025-40551は、Horizon3.aiのセキュリティ研究者Jimi Sebree氏によって報告された。同氏は深刻度が高いCVE-2025-40537も発見しているが、このハードコードされた認証情報のバグにも今回パッチが当てられている。この欠陥は特定の状況で悪用されると、低権限の攻撃者に管理機能への不正アクセスを許す恐れがあるという。

WHDは大企業や医療機関、教育機関、政府機関のヘルプデスク管理で広く使われており、SolarWindsによると世界30万以上の顧客に利用されている。

WhatsApp、高リスクユーザーのアカウントセキュリティを強化

SecurityWeek – January 28, 2026

メタ傘下の人気コミュニケーションサービスWhatsAppは27日、リスクの高いユーザーの安全性とプライバシー保護を向上させるためにセキュリティを強化した。

「Strict Account Settings（厳格なアカウント設定）」と呼ばれる新たなロックダウン型機能は、ジャーナリストや著名人を狙った巧妙なサイバー攻撃を防ぐことを目的としている。この新機能は数週間以内に展開される予定で、設定メニューの「プライバシー」タブにある「詳細設定」から設定できるようだ。有効にすれば怪しい添付ファイルやメディアをブロックし、見知らぬ相手からの通話を消音できるだけでなく、アプリの動作を制限する強力な保護設定も新たに利用できるという。

WhatsAppは2014年からメッセージのエンドツーエンド暗号化を実施しており、5年前にはクラウドへの保存時にバックアップを暗号化すると発表。そのほかにも2要素認証（2FA）とパスキーによるアカウント保護、不明なアカウントから届いたメッセージのブロック、通話中のIPアドレス保護、リンクのプレビュー無効化など、セキュリティとプライバシーに関する機能を用意している。