Microsoft、重大なSharePointの脆弱性に対処: CVE-2025-53770
今朝、マイクロソフトは、サイバー犯罪者が積極的に悪用しているSharePointの重大な脆弱性に関する警告を発表しました。CVE-2025-53770と指定されたこのセキュリティ上の欠陥により、権限のないユーザーが認証を必要とせずにオンプレミスのSharePointサーバー上で任意のコードをリモートで実行できるようになります。
脆弱性とパッチステータスの概要
Microsoft Defender 脆弱性管理チームは、この状況の緊急性を認識し、影響を受ける脆弱性の影響と修復戦略に関する包括的なガイダンスを公開しました。このガイダンスには、CVE-2025-53770に加え、既に修正プログラムが適用されている脆弱性(CVE-2025-49704およびCVE-2025-49706)に関する情報と、CVE-2025-53771に対する継続的な修正プログラム適用作業が含まれています。
主要な脆弱性の詳細
| CVE | タイプ | CVSS v3.1 | パッチステータス |
|---|---|---|---|
| CVE-2025-49704 | コード生成の不適切な制御 → 認証されたRCE | 8.8(高) | 2025年7月8日のセキュリティ更新プログラム(サブスクリプション版KB 5002768、SharePoint Server 2019 KB 5002741、SharePoint Server 2016 KB 5002744)で修正されました。Microsoftサポート |
| CVE-2025-49706 | 不適切な認証/なりすまし | 6.3(中) | 2025年7月8日の同じ更新プログラム(KB 5002768 / 5002741 / 5002744)で修正されました。Microsoftサポート |
| CVE-2025-53770 | 信頼できないデータのデシリアライズ → 認証されていない RCE | 9.8(クリティカル) | サブスクリプション版KB 5002768およびSharePoint 2019 KB 5002754の緊急パッチがリリースされました。SharePoint 2016のパッチは保留中です。Microsoftセキュリティ レスポンス センター |
| CVE-2025-53771 | パストラバーサル/スプーフィング | 6.3(中) | CVE-2025-53770(SE KB 5002768、2019 KB 5002754)と同じ緊急更新プログラムで対処済み。SharePoint 2016の修正プログラムが近日中にリリース予定。Microsoftセキュリティ レスポンス センター |
影響を受ける製品
| 製品 | CVE-2025-49704 | CVE-2025-49706 | CVE-2025-53770 | CVE-2025-53771 |
|---|---|---|---|---|
| SharePoint Server サブスクリプション エディション | ✅ 影響を受ける | ✅ 影響を受ける | ✅ 影響を受ける | ✅ 影響を受ける |
| SharePoint Server 2019 | ✅ 影響を受ける | ✅ 影響を受ける | ✅ 影響を受ける | ✅ 影響を受ける |
| SharePoint Server 2016 | ✅ 影響を受ける | ✅ 影響を受ける | ✅ 影響を受ける | ✅ 影響を受ける |
| SharePointオンライン | ❌ 影響を受けない | ❌ 影響を受けない | ❌ 影響を受けない | ❌ 影響を受けない |
さらに詳しい情報については、Microsoft の Tech Community Web サイトの公式ブログ投稿をご覧ください。
コメントを残す