CVE 2026 45659は、信頼できないデータのデシリアライゼーション(CWE 502)に起因するSharePoint ServerのRCE脆弱性で、深刻度は高(CVSS 8.8)。 ネットワーク経由で攻撃可能で、攻撃の複雑さは低く、必要な権限は「サイトメンバー」のみ。ユーザーの操作も不要です。

Create a landscape editorial hero image for this Studio Global article: What is the full scope of the recently disclosed CVE-2026-45659 remote code execution vulnerability in Microsoft SharePoint Server, includin. Article summary: Here is the full scope of CVE-2026-45659 and the surrounding SharePoint threat landscape.. Topic tags: general, government, general web. Reference image context from search candidates: Reference image 1: visual subject "Take action: This month prioritize Microsoft Office, Word, and Excel for the critical remote code execution flaws exploitable via the preview pane, then Windows OS and SharePoint S" source context "Microsoft May 2026 Patch Tuesday: 120 Vulnerabilities Fixed" Reference image 2: visual subject "# CVE-2026-40365 – Microsoft SharePoint Server Remote Code Execution Vulnerability. > “A low-privileged SharePoint account should never become a pathway to
Microsoftは、定例のセキュリティ更新プログラム公開からわずか2週間後に、SharePoint Serverの危険な新たな脆弱性に対する緊急修正プログラムをリリースしました。「CVE-2026-45659」として識別されるこの問題は、基本的なログイン資格情報を持つ攻撃者がサーバーを完全に掌握することを可能にするもので、オンプレミス環境のSharePointを悩ませる深刻な脆弱性の連鎖を改めて浮き彫りにしています。自社でSharePointファームを管理するセキュリティチームにとって、これは単なる「パッチ」ではなく、最優先で対処すべき緊急事態です。
CVE-2026-45659は、古典的かつ危険なソフトウェア欠陥の典型です。正式には「信頼できないデータのデシリアライゼーション」、すなわちCWE-502に分類される脆弱性です。
平たく言えば、SharePointはユーザーから送られてくる複雑なデータの「パッケージ」を受け取り、処理します。この脆弱性により、攻撃者はサーバー側で「開封」(デシリアライズ)される際に任意のコードを実行させる、悪意のあるパッケージを作り出すことが可能になります。まさにトロイの木馬のごとく、一見無害なデータからサーバーを乗っ取ることができてしまうのです。
この脆弱性の技術的な詳細は、悪用がいかに容易かを示しています。
低権限、ユーザー操作不要、ネットワークからの攻撃が可能というこの組み合わせは、攻撃者にとって格好の標的となります。たった一つの標準ユーザーアカウントが侵害されるだけで、サーバー全体の制御権を握られる入り口になり得るのです。
これはオンプレミス環境に固有の問題です。以下の3つのバージョンのSharePoint Serverが影響を受けます。SharePoint Onlineは本脆弱性の影響を受けません 。
影響を受ける各バージョンについて、Microsoftは管理者が自環境のパッチ適用状況を確認できるよう、特定の更新プログラムとビルド番号を提供しています。このパッチは2026年5月12日の標準的なセキュリティ更新の一部として公開されましたが、その深刻度が明らかになるにつれて重要性が再認識されています 。
CVE-2026-45659は、孤立した事象ではありません。これは、オンプレミス環境のSharePointを悩ませてきた、影響度の大きい一連のデシリアライゼーション脆弱性の最新事例に過ぎません。
記憶に新しいのが CVE-2026-20963 です。同様の欠陥でしたが、確定したCVSSスコアは9.8とさらに深刻で、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、実際に悪用されている事実を確認した上で、2026年3月18日に**「悪用が確認された脆弱性(KEV)」カタログに追加しました 。さらにCERT-EUの報告によると、MicrosoftはCVE-2026-20963に関する最初のセキュリティアドバイザリを更新し、この脆弱性が認証されていない攻撃者**によって悪用可能であること、つまりログイン自体が一切不要であることを明確にせざるを得ませんでした
。
CVE-2026-33110 などの他の関連問題も、同様に信頼できないデータのデシリアライゼーションを突いたもので、同じ製品ラインに影響します 。パターンは明白です。攻撃者とセキュリティ研究者はSharePointのデシリアライゼーションメカニズムを徹底的に精査しており、深刻な欠陥が驚くべきペースで発見され続けています。この傾向は、SharePoint管理者にとって、堅牢かつタイムリーなパッチ適用がかつてないほど重要になっていることを示しています。
パッチ適用が唯一の完全な解決策ですが、「多層防御」のアプローチを取ることで、さらなる防御層を追加できます。オンプレミスのSharePointを運用しなければならない組織のために、推奨される対応手順は以下の通りです。
w3wp.exe)からの不審なプロセス生成、異常な外部ネットワーク接続やWebシェルの設置、サービスアカウントの異常な動作に特に注意を払う必要があります。Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
CVE 2026 45659は、信頼できないデータのデシリアライゼーション(CWE 502)に起因するSharePoint ServerのRCE脆弱性で、深刻度は高(CVSS 8.8)。
CVE 2026 45659は、信頼できないデータのデシリアライゼーション(CWE 502)に起因するSharePoint ServerのRCE脆弱性で、深刻度は高(CVSS 8.8)。 ネットワーク経由で攻撃可能で、攻撃の複雑さは低く、必要な権限は「サイトメンバー」のみ。ユーザーの操作も不要です。