Microsoft Exchange Server のセキュリティ更新プログラム (2026 年 6 月)

high Nessus プラグイン ID 320863

概要

リモートホストにインストールされている Microsoft Exchange Server は、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Microsoft Exchange Server にセキュリティ更新プログラムがありません。したがって、2026 年 6 月のセキュリティ報告書に記載されている複数の脆弱性の影響を受けます。

- Microsoft Exchange Server のウェブページ生成中の入力の不適切な無効化 (「クロスサイトスクリプティング」) により、認証されていない攻撃者がネットワーク上でなりすましを実行する可能性があります。(CVE-2026-45500、CVE-2026-45501、CVE-2026-47631)

- Microsoft Exchange Online の不適切な承認により、認証されていない攻撃者がネットワーク経由で情報を漏洩する可能性があります。(CVE-2026-48579)

- Microsoft Exchange Server におけるコード生成の不適切なコントロール (「コードインジェクション」) により、権限のない攻撃者がネットワーク上でコードを実行する可能性があります。(CVE-2026-45583)

- Microsoft Exchange Server のサーバーサイドリクエストフォージェリ (SSRF) により、権限のある攻撃者がネットワークを介して情報を漏洩する可能性があります。(CVE-2026-45502、CVE-2026-45503)

- Microsoft Exchange Server のサーバーサイドリクエストフォージェリ (SSRF) により、権限のある攻撃者がネットワークを介して権限を昇格する可能性があります。(CVE-2026-45504)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Microsoft はこの問題を解決するために、以下のセキュリティ更新プログラムをリリースしています。
-KB5094139
-KB5094140
-KB5094142
-KB5094144

参考資料

http://www.nessus.org/u?3b89f8a8

http://www.nessus.org/u?496cae11

http://www.nessus.org/u?629d2e81

http://www.nessus.org/u?6823ab4e

プラグインの詳細

深刻度: High

ID: 320863

ファイル名: smb_nt_ms26_jun_exchange.nasl

バージョン: 1.4

タイプ: Local

エージェント: windows

公開日: 2026/6/12

更新日: 2026/6/22

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.8

パーセンタイル: 96.91

CVSS v2

リスクファクター: High

基本値: 9

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-45504

CVSS v3

リスクファクター: High

基本値: 8.1

現状値: 7.5

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

CVSS スコアのソース: CVE-2026-45583

脆弱性情報

CPE: cpe:/a:microsoft:exchange_server:subscription_edition, cpe:/a:microsoft:exchange_server:2016, cpe:/a:microsoft:exchange_server:2019

必要な KB アイテム: SMB/MS_Bulletin_Checks/Possible

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/6/9

脆弱性公開日: 2026/6/4

CISA の既知の悪用された脆弱性の期限日: 2026/5/29

参照情報

CVE: CVE-2026-42897, CVE-2026-45500, CVE-2026-45501, CVE-2026-45502, CVE-2026-45503, CVE-2026-45504, CVE-2026-45583, CVE-2026-47631, CVE-2026-48579

IAVA: 2026-A-0572

MSFT: MS26-5094139, MS26-5094140, MS26-5094142, MS26-5094144

MSKB: 5094139, 5094140, 5094142, 5094144