Exchange Server (まとめ) - TT 脆弱性 Blog

malware-log.hatenablog.com

【主要脆弱性】

◆ProxyLogon (まとめ)
https://vul.hatenadiary.com/entry/ProxyLogon

◆ProxyNotShell (まとめ)
https://vul.hatenadiary.com/entry/ProxyNotShell

【脆弱性内容】　　(★: 本ブログ内の詳細記事リンク)

★	CVE公開日	CVE登録日	CVE番号	NVD	ベンダー	CVSS v4	CVSS v3	CWE	脆弱性	KEV公開日	備考
	2026/05/14	2026/04/30	CVE-2026-42897	NVD	Microsoft	-	8.1(Microsoft) 6.1(NVD)	CWE-79	クロスサイトスクリプティング	2026/05/15	Exchange Server 2016

【ニュース】

■2020年

◆Microsoft Exchange Server Flaw Exploited in APT Attacks (ThreatPost, 2020/03/09 14:01)
https://threatpost.com/microsoft-exchange-server-flaw-exploited-in-apt-attacks/153527/
⇒ https://vul.hatenadiary.com/entry/2020/03/09/000000

◆Microsoft Exchange Serverの脆弱性突く攻撃続く、早期にパッチ適用を (マイナビニュース, 2020/03/12 06:49)
https://news.mynavi.jp/article/20200312-993773/
⇒ https://vul.hatenadiary.com/entry/2020/03/12/000000

◆「Exchange Server」の既知脆弱性がAPT攻撃の標的に (Security NEXT, 2020/03/12)
http://www.security-next.com/113076
⇒ https://vul.hatenadiary.com/entry/2020/03/12/000000_3

■2022年

◆Microsoft Exchange Serverなどの脆弱性の活発な悪用を確認、更新を (マイナビニュース, 2022/10/03)
https://news.mynavi.jp/techplus/article/20221003-2468025/
⇒ https://vul.hatenadiary.com/entry/2022/10/03/000000

■2023年

◆新手の攻撃手法「OWASSRF」 - 「ProxyNotShell」軽減策をバイパス (Security NEXT, 2022/12/28)
https://www.security-next.com/142582
⇒ https://vul.hatenadiary.com/entry/2022/12/28/000000_1

■2026年

◇2026年5月

◆「Exchange Server」に脆弱性 - すでに悪用を確認、パッチは準備中 (Security NEXT, 2026/05/15)
https://www.security-next.com/184486
⇒ https://vul.hatenadiary.com/entry/2026/05/15/000000_3

◆Microsoft Warns of Exchange Server Zero-Day Exploited in the Wild (Security Week, 2026/05/15)
[マイクロソフト、Exchange Serverのゼロデイ脆弱性が実環境で悪用されていると警告]

Microsoft has shared mitigations for CVE-2026-42897 until a permanent patch can be released for affected Exchange Server versions.
[マイクロソフトは、影響を受けるExchange Serverのバージョン向けに恒久的な修正プログラムがリリースされるまでの間、CVE-2026-42897に対する回避策を公開しました。]

https://www.securityweek.com/microsoft-warns-of-exchange-server-zero-day-exploited-in-the-wild/
⇒ https://vul.hatenadiary.com/entry/2026/05/15/000000_4

◆米当局、「Exchange Server」ゼロデイ脆弱性に注意喚起 (Security NEXT, 2026/05/18)
https://www.security-next.com/184521
⇒ https://vul.hatenadiary.com/entry/2026/05/18/000000_3

【ブログ】

■2020年

◆DETECTING CVE-2020-0688 REMOTE CODE EXECUTION VULNERABILITY ON MICROSOFT EXCHANGE SERVER (TrustedSec, 2020/02/28)
https://www.trustedsec.com/blog/detecting-cve-20200688-remote-code-execution-vulnerability-on-microsoft-exchange-server/
⇒ https://vul.hatenadiary.com/entry/2020/02/28/000000

【公開情報】

■2020年

◆Unpatched Microsoft Exchange Servers Vulnerable to CVE-2020-0688 (CISA, 2020/03/10)
https://www.us-cert.gov/ncas/current-activity/2020/03/10/unpatched-microsoft-exchange-servers-vulnerable-cve-2020-0688
⇒ https://vul.hatenadiary.com/entry/2020/03/10/000000

【関連ブログ記事】

◆Exchange Server (まとめ)
https://malware-log.hatenablog.com/entry/Exchange_Server

【関連まとめ記事】

◆全体まとめ

◆アプリケーション (まとめ)
https://vul.hatenadiary.com/entry/Application