Trusted Design

CVE-2026-45659 の詳細

CVEの情報

説明:
Deserialization of untrusted data in Microsoft Office SharePoint allows an authorized attacker to execute code over a network.

CVE更新日: 2026-05-22 23:16:56.273000

CVSSバージョン: 3.1

CVSSスコア: 8.8

KEVの情報

KEV更新日: 2026-07-01

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.032190000

EPSS更新日: 2026-07-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

Microsoft SharePoint Server における「信頼されていないデータのデシリアライズ(CWE‑502)」に起因する、認証済みユーザーによるリモートコード実行(RCE)脆弱性。

1. 脆弱性の概要

CVE‑2026‑45659 は Microsoft SharePoint Server に存在する Deserialization of Untrusted Data(CWE‑502) による 認証済みユーザーのリモートコード実行(RCE) 脆弱性。 攻撃者は Site Member レベルの最小権限 であっても、 SharePoint が内部処理でデシリアライズするデータを細工することで、 SharePoint サーバー上で任意コードを実行可能。

1.1 影響

  • 認証済みユーザーによる任意コード実行(RCE)
  • SharePoint サーバーの完全な乗っ取りが可能
  • ネットワーク経由で攻撃可能(AV:N)
  • 管理者権限は不要(PR:L)

1.2 深刻度

  • CVSS v3.1:8.8(High)
    Vector:AV:N / AC:L / PR:L / UI:N / S:U / C:H / I:H / A:H
    (Microsoft CNA)
  • CISA Known Exploited Vulnerabilities(KEV)登録済み
    → 実際に悪用が確認されている脆弱性

2. 対象となる環境

2.1 影響を受ける製品・バージョン

OpenCVE による影響バージョン:

  • SharePoint Enterprise Server 2016
    • < 16.0.5552.1002
  • SharePoint Server 2019
    • < 16.0.10417.20128
  • SharePoint Server Subscription Edition
    • < 16.0.19725.20280

2.2 影響を受ける設定

  • SharePoint が デシリアライズ処理を行う機能 を利用している環境
  • 認証済みユーザーがデータをアップロード・操作できる構成
    (設定依存ではなく、該当バージョンであれば影響)

3. 影響を受けた時の兆候(IoC)

公式に明確な IoC は公開されていない。
ただし、事実ベースで起こり得る挙動:

  • SharePoint サーバー上で 不審なコード実行
  • デシリアライズ処理に関連する 異常ログ
  • Site Member 権限ユーザーによる不審な操作

4. 推奨対策

4.1 本対策(恒久対策)

Microsoft / OpenCVE による公式対策:
Microsoft が公開したセキュリティ更新プログラムを適用することが必須

  • Subscription Edition → KB 5002863
    • SharePoint 2019 → KB 5002870
  • SharePoint 2016 → KB 5002868
    CISA は 2026/07/04 までの対策適用を必須化

4.2 暫定回避策(緩和策)

OpenCVE 推奨(事実ベース):

  • カスタムデシリアライズ処理の無効化・制限
  • 不審なアップロードやデータ操作を制限
  • SharePoint ログ監視の強化
  • IoT/OT Security News 推奨(事実):
  • Site Member 権限を最小化
  • インターネット公開されている SharePoint をパッチ適用まで隔離
  • WAF による悪意のデシリアライズペイロード検知

5. その他補足すべき観点

5.1 悪用状況

CISA KEV に登録 → 実際に悪用確認済み

5.2 脆弱性の根本原因

CWE‑502:Untrusted Data Deserialization(信頼されていないデータのデシリアライズ)

NVDサイト

NVDでCVEの詳細を見る

戻る