CVE詳細 - CVE-2026-42897-

CVE-2026-42897 の詳細

CVEの情報

説明:
Improper neutralization of input during web page generation ('cross-site scripting') in Microsoft Exchange Server allows an unauthorized attacker to perform spoofing over a network.

CVE更新日: 2026-05-14 18:16:49.360000

CVSSバージョン: 3.1

CVSSスコア: 8.1

KEVの情報

KEV更新日: 2026-05-15

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST（Forum of Incident Response and Security Teams）が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.078560000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation（悪用状況）、Technical Impact（技術的影響）、Automatable（自動攻撃の可否）を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

1. 脆弱性の概要

Microsoft Exchange Server におけるクロスサイトスクリプティング（XSS, CWE‑79）脆弱性。不正なユーザー入力の無害化処理が不十分であるため、未認証の攻撃者が悪意あるスクリプトを注入し、ネットワーク越しにスプーフィングを実行できる。 Microsoft によれば、攻撃は特別に細工したメールを送信することで発生し得る。

1.1 影響

未認証で XSS 攻撃が可能
ユーザーやプロセスのなりすまし（spoofing）が可能
悪意あるスクリプトが Exchange Server 上で実行される
追加攻撃（セッション乗っ取り等）につながる可能性

1.2 深刻度

CVSS v3.1（Microsoft CNA 評価）：8.1（High）
CISA Known Exploited Vulnerabilities（KEV）に登録済み（悪用確認済み）

2. 対象となる環境

2.1 影響を受ける製品バージョン

以下の Microsoft Exchange Server が影響を受ける：

Exchange Server 2016 CU23
Exchange Server 2019 CU14
Exchange Server 2019 CU15
Exchange Server Subscription Edition RTM

2.2 影響を受ける設定

OWA（Outlook Web Access）を利用する環境で攻撃が成立し得る（Microsoft コミュニティ情報より）
特定の設定条件は公開されていない

→ 影響バージョンの Exchange Server が稼働していれば攻撃可能

3. 影響を受けた時の兆候（IoC）

公開情報では具体的な IoC は提示されていない。事実として：

CISA KEV に登録されており、実際の悪用が確認されている（※攻撃ログ例やペイロードは公開されていないため「不明」）

4. 推奨対策

4.1 本対策（恒久対策）

Microsoft が提供する修正を含む累積更新プログラム（CU）を適用することが必須（OpenCVE 推奨）更新後は Exchange サービスの再起動が必要

4.2 暫定回避策（緩和策）

OpenCVE による推奨緩和策：

WAF（Web Application Firewall）で XSS ペイロードをブロック
Exchange Advanced Threat Protection を有効化し、XSS 関連攻撃を検知・遮断

5. その他補足（事実ベース）

攻撃は未認証・低複雑性・ネットワーク経由で実行可能
EPSS（悪用確率）は 12.3%（Moderate）

NVDサイト

NVDでCVEの詳細を見る

戻る