「SolarWinds Serv-U」にDoS脆弱性、悪用も - 米当局が注意喚起

SolarWindsのファイル転送ソリューション「SolarWinds Serv-U」における既知の脆弱性が悪用されているとして、米当局が注意喚起を行った。

サービス拒否の脆弱性「CVE-2026-28318」が判明し、SolarWindsでは、修正パッチとなる「同15.5.4 Hotfix 1」を現地時間2026年6月4日にリリース。あわせてウェブアプリケーションファイアウォール（WAF）によるアクセス制限など緩和策を案内している。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、すでに同脆弱性が悪用されているとして、同月5日に同脆弱性を「悪用が確認された脆弱性カタログ（KEV）」へ追加した。

米行政機関に対して同月19日までに対策を講じるよう求めた。脆弱性は広く悪用されるおそれがあり、利用者も注意が必要となる。

「CVE-2026-28318」では、細工した「Content-Encoding」ヘッダを含むPOSTリクエストによってリソースを消費させ、認証を必要とすることなく「Serv-U」サービスをクラッシュさせることが可能となる。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」。重要度は4段階中、上から2番目にあたる「高（High）」とレーティングされている。

（Security NEXT - 2026/06/08 ） ツイート

PR

関連記事

脆弱性「Dirty Frag」が製品に与える影響を調査 - Fortinet
「Cisco Catalyst SD-WAN Manager」にゼロデイ脆弱性 - 悪用も確認
「MOVEit WAF」に検知回避の深刻な脆弱性 - 早急な対策を
「OpenStack Mistral」に脆弱性 - API認証ユーザーがコード実行可能
「MLflow」にアクセスキーなど機密情報が流出する深刻な脆弱性
米当局、脆弱性3件を悪用カタログに追加 - 早期対応求める
「Cisco Unified CM」にクリティカル脆弱性 - 実証コードが公開済み
「Android」に月例セキュリティ更新、脆弱性122件を修正 - 悪用の兆候も
「Ivanti Neurons for ITSM」に高リスク脆弱性 - 定例外パッチを公開
米当局、「Oracle WebLogic Server」既知脆弱性の悪用に警鐘