CVE-2026-21264は、Microsoft Accountにおいてウェブページ生成時に発生するクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性を悪用されると、攻撃者はネットワーク上でなりすましを実行することが可能になります。影響を受けるバージョンは、現時点では特定されていません。修正プログラムの提供状況は未定です。
このXSS脆弱性は、攻撃者がMicrosoft Accountのウェブページに悪意のあるスクリプトを注入することを可能にします。これにより、攻撃者はユーザーを偽のログインページに誘導したり、ユーザーのセッションを乗っ取ったり、機密情報を盗み取ったりする可能性があります。特に、Microsoft Accountにログインしているユーザーの行動を監視し、個人情報や財務情報を窃取するリスクがあります。この脆弱性は、ユーザーの信頼を損ない、広範囲にわたる損害を引き起こす可能性があります。
CVE-2026-21264は、2026年1月22日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。
Users who frequently access Microsoft Account services through web browsers are at risk. This includes individuals using Microsoft services for email, cloud storage, or other online activities. Users who rely on Microsoft Account for single sign-on (SSO) to other applications are also at increased risk.
disclosure
エクスプロイト状況
EPSS
0.04% (14% パーセンタイル)
CISA SSVC
CVSS ベクトル
現時点では、Microsoftから公式な修正プログラムが提供されていません。そのため、一時的な緩和策として、Microsoft Accountの利用を慎重に行うことが推奨されます。特に、不審なリンクをクリックしたり、信頼できないウェブサイトにログインしたりすることは避けてください。また、ウェブアプリケーションファイアウォール(WAF)やリバースプロキシを使用して、悪意のあるスクリプトの注入を試みる攻撃をブロックすることも有効です。Microsoftからの修正プログラムの提供を注視し、提供され次第速やかに適用してください。
Microsoft は、この脆弱性から保護するために、最新のセキュリティ更新プログラムを適用することを推奨しています。詳細と対応する更新プログラムについては、Microsoft セキュリティ速報を参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-21264は、Microsoft Accountのウェブページ生成時に発生するクロスサイトスクリプティング(XSS)脆弱性です。攻撃者はこの脆弱性を悪用して、ネットワーク上でなりすましを実行する可能性があります。
はい、Microsoft Accountを利用しているすべてのユーザーが潜在的なリスクにさらされています。特に、個人情報や財務情報を登録しているユーザーは注意が必要です。
現時点では、Microsoftから公式な修正プログラムが提供されていません。Microsoftからの修正プログラムの提供を注視し、提供され次第速やかに適用してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。
Microsoftの公式アドバイザリは、Microsoft Security Response Centerのウェブサイトで確認できます。
packages.lock.json ファイルをアップロードすると、影響の有無を即座にお知らせします。