Microsoft Exchange ServerにXSS(CVE-2026-42897)— OWAで任意のJavaScript実行
メールサーバ「Microsoft Exchange Server」に、クロスサイトスクリプティング(XSS)の脆弱性。Outlook Web Access(OWA)のWebページ生成時に、一定の条件下でブラウザのコンテキストで任意のJavaScriptが実行されうる。CISAは悪用確認済み(KEV)として掲載(CVSS 8.1 High)。
脆弱性の基本情報
- CVE番号CVE-2026-42897
- CVSS基本値8.1 HIGH
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
- 対象(ベンダー/製品)Microsoft Microsoft
- CWECWE-79
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-05-29(米連邦民生機関・BOD 22-01)
要点
CVE-2026-42897は、Microsoft Exchange Server(企業のメール基盤として広く使われるメールサーバ製品)に存在するクロスサイトスクリプティング(CWE-79:XSS)の脆弱性だ。CISAのKEVカタログに2026年5月15日付で追加された。
NVDの説明によれば、Outlook Web Access(OWA)のWebページ生成時に、一定の相互作用条件が満たされると、被害者のブラウザのコンテキストで任意のJavaScriptが実行されうる。OWAはブラウザからメールを利用する入口であり、ここでスクリプトが実行されると、セッションの乗っ取りやメール内容の窃取、なりすましといった被害につながりうる。
Exchange Serverは、過去にも深刻な脆弱性(ProxyLogon等)が広く悪用された経緯があり、攻撃者に狙われやすい高価値資産だ。XSSは単体ではサーバ全体の侵害に直結しないこともあるが、メール基盤という機密性の高い対象であり、KEV入りは迅速な対応を促す。
【対応の要点】Microsoft公式のセキュリティ更新を適用する(Exchangeは累積的更新の適用が基本)。クラウド利用時はBOD 22-01に準拠。OWAを外部公開している場合は特に優先度が高い。連邦民生機関の是正期限は2026年5月29日。
なぜ重要か
広く使われるメール基盤Exchangeの脆弱性で、Webメール(OWA)経由の攻撃に直結する事例。Exchangeを運用する組織は、累積的セキュリティ更新の迅速な適用とOWAの公開範囲の見直しが要点。高価値資産を狙う攻撃の継続を示す。
よくある質問(FAQ)
XSS(クロスサイトスクリプティング)とは?
OWAとは?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。