CVE-2026-47280

Critical(10)

CVE-2026-47280 — Azure Resource Manager 認証不備による権限昇格

公開日: 2026-05-28データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Azure Resource Manager	Microsoft	パッチ適用前

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

1Azure Resource Manager（ARM）を利用しているか確認する
2Microsoftセキュリティ更新プログラムを確認し適用する
3Azureアクティビティログを確認し不審なリソース操作がないか調査する
4適用後、リソース管理操作の動作を確認する

影響対象

Azure Resource Managerを利用するAzure利用組織

補足

-CVSS 10.0の最高スコア。Azureリソース管理の根幹に影響するため最優先で対応を推奨

CVEMicrosoftAzureAzure Resource Manager権限昇格認証不備

概要

Azure Resource Manager（ARM）において、認証の不備（CWE-287）により、未認証の攻撃者がネットワーク越しに権限昇格を行える脆弱性です（CVE-2026-47280）。

ARMはAzure上のリソース管理の根幹を担うサービスであり、仮想マシン・ストレージ・ネットワーク等の管理操作を担います。この脆弱性の影響範囲は広く、Azureを利用している組織は早急な確認と対処が推奨されます。

CVSSベクトル

項目	値
CVSSスコア	10.0（Critical）
CWE	CWE-287 認証の不備
攻撃元区分（AV）	ネットワーク
攻撃条件の複雑さ（AC）	低
必要な特権レベル（PR）	不要
ユーザー関与（UI）	不要
機密性への影響（C）	高
完全性への影響（I）	高
可用性への影響（A）	高

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Azure Resource Manager	Microsoft	パッチ適用前

修正バージョンと回避策

対策: Microsoftが提供するセキュリティ更新プログラムを適用してください
Azureポータルまたは Azure CLIでリソースの操作ログを確認し、不審なアクティビティがないか確認してください

関連リンク

MSRC
NVD

データソース: NVD (NIST), Microsoft MSRC
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-23652Microsoft Power Pages コマンドインジェクションCVSS 10 CVE-2026-42901Microsoft Entra ID 権限昇格CVSS 10 CVE-2026-33843Microsoft Azure AD B2C 認証バイパスCVSS 9.1

参考リンク

MSRC:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47280

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-47280

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。