米 CISA は 7月1日、Microsoft SharePoint Server の遠隔コード実行脆弱性 CVE-2026-45659 (CVSS 8.8) を Known Exploited Vulnerabilities (KEV) カタログに追加しました。Microsoft は 5月の月例パッチで対処済みですが、当初評価は "Exploitation Less Likely" で緊急扱いはされていませんでした。CISA は連邦民間機関 (FCEB) に 7月4日までのパッチ適用を義務付けています。

主なポイント

  • 対象は SharePoint Server Subscription Edition / 2019 / Enterprise Server 2016 で、いずれも未パッチ環境は 7月4日期限で修正必須
  • 脆弱性は「信頼できないデータの逆シリアライゼーション」に起因する RCE。Site Member 以上の認証済みユーザーであれば管理者権限を持たなくても発火可能
  • Microsoft の当初評価と現実の悪用状況が乖離した典型例で、CISA 追加は 5月パッチ配布から約 2 か月後のタイミング
  • 攻撃キャンペーンの帰属・目的は現時点で未公表。The Register は「Microsoft が『可能性低』としたのに CISA が KEV に載せた」矛盾を指摘
  • SharePoint はイントラ・SaaS 双方で企業のドキュメント基盤に多用されるため、認証済み内部者 / 侵入済み攻撃者による横展開に直結する

出典: SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation