CVE-2026-42901

Critical(10)

CVE-2026-42901 — Microsoft Entra ID 権限昇格

公開日: 2026-05-28データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Microsoft Entra ID	Microsoft	パッチ適用前

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

1Microsoft Entra ID（Azure AD）を利用しているか確認する
2Microsoftセキュリティ更新プログラムを確認し適用する
3Entra ID監査ログを確認し不審なアクティビティがないか調査する
4適用後、ID認証フローの動作を確認する

影響対象

Microsoft Entra ID（Azure AD）利用組織Microsoft 365利用組織

補足

-CVSS 10.0の最高スコア。クラウドID管理基盤への影響のため優先度を高く設定

CVEMicrosoftEntra IDAzure AD権限昇格

概要

Microsoft Entra ID（旧Azure Active Directory）において、オリジン検証エラー（CWE-346）により、未認証の攻撃者がネットワーク越しに権限昇格を行える脆弱性です（CVE-2026-42901）。

クラウドのID管理・認証基盤として広く利用されているEntra IDへの影響は大きく、CVSS最高スコアの10.0が付与されています。Microsoft 365やAzureサービスを利用している組織は早急な確認が推奨されます。

CVSSベクトル

項目	値
CVSSスコア	10.0（Critical）
CWE	CWE-346 オリジン検証エラー
攻撃元区分（AV）	ネットワーク
攻撃条件の複雑さ（AC）	低
必要な特権レベル（PR）	不要
ユーザー関与（UI）	不要
機密性への影響（C）	高
完全性への影響（I）	高
可用性への影響（A）	高

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Microsoft Entra ID	Microsoft	パッチ適用前

修正バージョンと回避策

対策: Microsoftが提供するセキュリティ更新プログラムを適用してください
Microsoft Entra管理センターでサービス状態を確認し、更新が適用されているか確認してください

関連リンク

MSRC
NVD

データソース: NVD (NIST), Microsoft MSRC
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-23652Microsoft Power Pages コマンドインジェクションCVSS 10 CVE-2026-47280Azure Resource Manager 認証不備CVSS 10 CVE-2026-33843Microsoft Azure AD B2C 認証バイパスCVSS 9.1

参考リンク

MSRC:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42901

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42901

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。