脆弱性  ·  2026-07-02

Microsoft SharePoint Server — 逆シリアル化 RCE が CISA KEV に追加(CVE-2026-45659)

脆弱性High 影響度GlobalCVE-2026-45659
CISA は CVE-2026-45659 を 2026年7月1日に既知の悪用された脆弱性カタログに追加し、積極的な野生でのエクスプロイテーションを確認しました。Microsoft はこの逆シリアル化 RCE 欠陥に対して帯外パッチをリリースしました。CISA は BOD 26-04 に基づいて、2026年7月4日の連邦機関修復期限を設定しました。
SharePoint Server は、エンタープライズ RAG パイプラインと Microsoft 365 Copilot ナレッジベースの基本的なドキュメント ストアです。AI デプロイメントのコンテキストで SharePoint での RCE は、攻撃者がエンタープライズ AI エージェント に給餌するドキュメント コーパスを毒化し、RAG 検索で使用される機密ドキュメントを流出させ、または SharePoint ホストからより広いエンタープライズ ネットワークにピボットできることを意味します。確認された積極的なエクスプロイテーションは、AI 統合 SharePoint デプロイメントへの即座の脅威です。
認可された攻撃者(ネットワーク アクセス可能、管理者不要)は、信頼されていないデータの逆シリアル化の脆弱性を悪用して、ネットワーク上の SharePoint サーバーで任意のコードを実行します。CISA は 2026年7月4日までの連邦機関修復を必須としました。
Microsoft SharePoint Server 2016、2019、およびサブスクリプション エディション
Microsoft の帯外セキュリティ更新を直ちに適用してください。MSRC 勧告:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45659。CISA KEV:https://www.cisa.gov/known-exploited-vulnerabilities-catalog
出典
CISA KEV Catalog — CVE-2026-45659 Added July 1 2026CISA KEV Alert — Adds One Known Exploited VulnerabilityMSRC — CVE-2026-45659
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →