概要
Microsoft Exchange Server にクロスサイトスクリプティング(XSS)の脆弱性が存在します。未認証の攻撃者がネットワーク経由でスプーフィング攻撃を行える状態です。
本脆弱性は CISA の Known Exploited Vulnerabilities(KEV)カタログに掲載されており、実際の悪用が確認されています。 特に Exchange Online と混在運用しているオンプレミス Exchange 環境では早急な対応が必要です。
Microsoft Exchange は日本企業でも広く使われており、メール・カレンダー・組織情報への不正アクセスにつながる可能性があります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| スコア | 8.1(High) |
| 攻撃経路(AV) | ネットワーク(N) |
| 攻撃複雑度(AC) | 低(L) |
| 特権要件(PR) | なし(N) |
| ユーザー操作(UI) | 必要(R) |
| スコープ(S) | 変更なし(U) |
| 機密性影響(C) | 高(H) |
| 完全性影響(I) | 高(H) |
| 可用性影響(A) | なし(N) |
影響を受けるソフトウェア
| 製品 | 対象 |
|---|---|
| Microsoft Exchange Server | 複数バージョン(パッチ未適用) |
修正バージョンと回避策
修正: 2026年6月の Microsoft 月次セキュリティ更新プログラム(Patch Tuesday)を適用してください。
追加推奨事項:
- Microsoft Security Update Guide で CVE-2026-42897 を確認し、対象バージョンを特定してください
- CISA KEV 掲載のため、連邦機関では一定期限内の対応が義務付けられています(民間企業でも優先対応を推奨)
同日公開の関連脆弱性も合わせて対応してください:
- CVE-2025-59249(CVSS 8.8): Exchange Server 権限昇格
- CVE-2025-53782(CVSS 8.4): Exchange Server 認証アルゴリズム不備
- CVE-2025-53786(CVSS 8.0): Exchange ハイブリッドデプロイメントの脆弱性
関連リンク
データソース: NVD (NIST), CISA AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。