米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Microsoft SharePoint Serverに存在する重大な脆弱性を「既知の悪用される脆弱性」(KEV)カタログに追加し、実際の悪用が確認されたことを明らかにしました。
CVE-2026-45659として追跡されているこの脆弱性は、Microsoft SharePoint Serverに影響する信頼できないデータのデシリアライゼーションに関するものです。
この脆弱性はCWE-502に起因しています。これは、アプリケーションが信頼できないソースからのシリアライズされたデータを適切な検証なしに処理してしまう、よく知られたバグの分類です。
認証済みの攻撃者はこの脆弱性を悪用することで、ネットワーク経由で任意のコードを実行できます。そのため、オンプレミス環境のSharePoint導入にとって深刻なリモートコード実行(RCE)のリスクとなっています。
デシリアライゼーションの脆弱性は、従来の入力検証を回避してしまうことが多いため特に危険です。攻撃者はデシリアライゼーション処理中に実行される悪意あるオブジェクトを密かに紛れ込ませることができます。
CISAはCVE-2026-45659がランサムウェア攻撃に利用されたかどうかについては「不明」としており、確認は取れていません。しかし、KEVカタログへの追加自体が悪用の確認を意味しており、ランサムウェアとの関連の有無にかかわらず、直ちに対応すべき事案であることに変わりはありません。
CISAは2026年7月1日にこの脆弱性をKEVカタログに追加しており、対象組織に対して異例なほど短い対応期限を設けています。是正措置の期限はわずか3日後の2026年7月4日に設定されており、この脆弱性の深刻さと実際に悪用されている状況を反映した措置となっています。
CISAの勧告では、リスクに基づくセキュリティ更新の優先順位付けを定めた拘束的運用指令(BOD)26-04に従い、ベンダーが提供する緩和策を直ちに適用するよう組織に求めています。
クラウドでホストされているSharePoint環境を利用している政府機関および関係者も、クラウドサービス向けに定められたBOD 26-04のガイダンスに従う必要があります。
また、組織にはCISAのフォレンジック・トリアージ要件への準拠も求められています。これは、影響を受けたシステムがすでに侵害されているかどうかを判断するために、フォレンジック調査が必要になる可能性を示唆するものです。
特筆すべき点として、CISAはインターネット露出の評価責任を関係者側に直接課しています。各組織は自らのSharePoint環境の露出状況を評価し、BOD 26-04が定める期限内にパッチ適用が確実に完了するようにしなければならないと強調しています。
オンプレミスでSharePoint Serverを運用しているセキュリティチームは、これを最優先のパッチ適用対応として扱うべきです。
翻訳元: https://cyberpress.org/cisa-microsoft-sharepoint-rce/