Trusted DesignCVE-2026-21509 の詳細
CVEの情報
説明:
Reliance on untrusted inputs in a security decision in Microsoft Office allows an unauthorized attacker to bypass a security feature locally.
CVE更新日: 2026-01-26 18:16:38.540000
CVSSバージョン: 3.1
CVSSスコア: 7.8
KEVの情報
KEV更新日: 2026-01-26
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.100720000
EPSS更新日: 2026-03-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2026-21509はMicrosoft Officeに存在するセキュリティ機能バイパス脆弱性です。攻撃者が細工したOffice ファイルをユーザーに開かせることで、COM/OLEコントロールに対する既存のOLE緩和策を回避し、本来ブロックされるべき危険なコンポーネントが実行されてしまいます。すでに悪用が確認されており、CISA KEVに登録されています。 メールに添付されている怪しいOfficeファイルは開かないようにしましょう。 【1. 脆弱性の概要】 ■ 影響 - 悪意あるOfficeファイルを開くと、COM/OLEコントロールの保護がバイパスされる。 - 任意コード実行につながる可能性がある(ただしRCEと断定する公式情報はなし)。 - プレビューウィンドウでは発動しない。 ■ 深刻度 - CVSS v3.1:7.8(High / Important) 【2. 対象となる環境】 ■ 影響を受ける製品 - Microsoft Office 2016 - Microsoft Office 2019 - Microsoft Office LTSC 2021 - Microsoft Office LTSC 2024 - Microsoft 365 Apps(再起動により自動保護が適用) ■ 影響を受けるOSバージョン - Windows上のOffice製品が対象。 - OS依存の詳細は不明。 ■ 影響を受ける設定 - ユーザーが細工されたOfficeファイルを開く環境。 - COM/OLE保護設定が既定のままの環境。 - 特定設定依存の詳細は不明。 【3. 影響を受けた時の兆候】 - 悪意あるファイルを開いた際にOLEコントロールが実行される可能性があります。 【4. 推奨対策】 ■ 本対策 - Microsoftが公開した緊急パッチ(Out-of-Band Update)を適用。 - Microsoft 365 Apps:アプリ再起動により保護が有効化。 - Office 2016 / 2019:手動で更新プログラムを適用。 ■ 暫定回避策(緩和策) - Microsoftが提示するレジストリ変更によるCOM/OLE互換性設定の強化。 - 不審なOfficeファイルを開かない運用を徹底する。