TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: Exchange Server > CISA orders fed agencies to patch new Exchange flaw by Monday

CISA orders fed agencies to patch new Exchange flaw by Monday

アプリ: Exchange Server 脆弱性: CVE-2025-53786

【訳】

CISAは連邦機関に対し、月曜日までに新しいExchangeの脆弱性を修正するよう命じた


【脆弱性内容】

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v3
CWE
脆弱性
KEV
備考
2025/08/06 2025/07/09 CVE-2025-53786 NVD Microsoft
8.0(Microsoft)
 CWE-287 不適切な認証 - Exchange Server


【要約】

Microsoftは、Exchange Serverハイブリッド展開に存在する重大度の高い脆弱性CVE-2025-53786を警告しました。オンプレミスExchangeを制御された場合、攻撃者は共有サービスプリンシパルを悪用し、Exchange Onlineで検出されずに特権昇格や信頼トークン偽造が可能になります。対象はExchange 2016/2019およびSubscription Editionで、未緩和ならハイブリッド環境全体の侵害も懸念されます。CISAは4月のホットフィックス適用やサービスプリンシパルのリセット、不要な公開サーバーの遮断を推奨しています。


【ニュース】

◆CISA orders fed agencies to patch new Exchange flaw by Monday (BleepingComputer, 2025/08/07 16:14)
[CISAは連邦機関に対し、月曜日までに新しいExchangeの脆弱性を修正するよう命じた]
https://www.bleepingcomputer.com/news/security/cisa-orders-fed-agencies-to-patch-new-cve-2025-53786-exchange-flaw/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022