脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新CriticalHighAWSGCPAzureLinux
High CVSS 8.8 NEW KEV 悪用確認
CVE-2026-45659

Microsoft SharePoint Server デシリアライズ(認証済み RCE)

CVE IDCVE-2026-45659
製品Microsoft / SharePoint Server
CVSS8.8(High)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
種別 (CWE)CWE-502 信頼できないデータのデシリアライズ
登録/公開日2026/07/01
KEV 期限2026/07/04 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従って緩和策を適用(BOD 26-04 準拠)
出典https://nvd.nist.gov/vuln/detail/CVE-2026-45659

概要

Microsoft SharePoint Server(オンプレ)の信頼できないデータのデシリアライズの脆弱性。認証済み攻撃者がネットワーク経由でコード実行に至る。修正版は SharePoint Enterprise 2016 が 16.0.5552.1002 以降、2019 が 16.0.10417.20128 以降、Subscription Edition が 16.0.19725.20280 以降。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) パッチあり(アプリ更新)
EC2(Windows)上の SharePoint Server に Microsoft の修正版を適用
自己管理の Windows Server 上 SharePoint。AWS 固有の修正提供はなく、Microsoft の更新プログラムを利用者が適用。
参照リンク
GCP パッチあり(アプリ更新)
GCE(Windows)上の SharePoint Server に Microsoft の修正版を適用
GCP 固有の修正提供は確認できず。Microsoft の更新を利用者が適用。
参照リンク
Azure パッチあり(アプリ更新)
Azure VM 上の SharePoint Server に Microsoft の修正版を適用。SharePoint Online はサービス側で対応
Azure VM 上のオンプレ SharePoint は利用者がパッチ適用。マネージドの SharePoint Online(M365)は Microsoft 側で対応済みとされる。
参照リンク
Linux 対象外
該当なし(SharePoint Server は Windows 専用)
SharePoint Server は Windows 専用製品のため Linux は非該当。
参照リンク

解決の方向性(パッチ/回避策/代替)

Microsoft の月例更新(MSRC アドバイザリ)を適用するのが確実。オンプレ SharePoint 固有で、SharePoint Online(Microsoft 365)はサービス側で管理されるため利用者のパッチ適用は不要とされる。

免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る