TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > CVE-2026-42897 > Microsoft Warns of Exchange Server Zero-Day Exploited in the Wild

Microsoft Warns of Exchange Server Zero-Day Exploited in the Wild

CVE-2026-42897 アプリ: Exchange Server *ゼロデイ脆弱性

【要点】

◎Microsoftは、実際に悪用が確認されたExchange Serverのゼロデイ脆弱性「CVE-2026-42897」について警告し、暫定的な緩和策を公開した (Security Week)


【訳】

マイクロソフト、Exchange Serverのゼロデイ脆弱性が実環境で悪用されていると警告


【脆弱性内容】  (★: 本ブログ内の詳細記事リンク)
CVE公開日
CVE登録日
CVE番号
NVD
ベンダー
CVSS v4
CVSS v3
CWE
脆弱性
KEV公開日
備考
2026/05/14 2026/04/30 CVE-2026-42897 NVD Microsoft -
8.1(Microsoft)
6.1(NVD)
 CWE-79 クロスサイトスクリプティング 2026/05/15 Exchange Server 2016


【要約】

Microsoftは、実環境で悪用が確認されたExchange Server向けゼロデイ脆弱性「CVE-2026-42897」について警告した。対象はExchange Server Subscription Edition、2016、2019で、OWAにおける入力無害化不備によるXSSとなりすまし問題が原因。攻撃者は細工したメールを送り、利用者がOWAで開くことでブラウザ上で任意JavaScriptを実行できる可能性がある。恒久パッチは未提供で、MicrosoftはEEMS有効化などの緩和策を推奨している。攻撃詳細や攻撃者情報は未公表だが、Exchange脆弱性は過去にも広範に悪用されてきた経緯がある。


【ニュース】

◆Microsoft Warns of Exchange Server Zero-Day Exploited in the Wild (Security Week, 2026/05/15)
[マイクロソフト、Exchange Serverのゼロデイ脆弱性が実環境で悪用されていると警告]

Microsoft has shared mitigations for CVE-2026-42897 until a permanent patch can be released for affected Exchange Server versions.
[マイクロソフトは、影響を受けるExchange Serverのバージョン向けに恒久的な修正プログラムがリリースされるまでの間、CVE-2026-42897に対する回避策を公開しました。]

https://www.securityweek.com/microsoft-warns-of-exchange-server-zero-day-exploited-in-the-wild/


【関連まとめ記事】

全体まとめ
 ◆アプリケーション (まとめ)

◆Exchange Server (まとめ)
https://vul.hatenadiary.com/entry/Exchange_Server

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022