プラットフォーム
exchange
コンポーネント
exchange
修正版
unspecified
CVE-2026-26137は、Microsoft Exchange Onlineに存在するサーバーサイドリクエストフォージェリ(SSRF)の脆弱性です。認証された攻撃者は、この脆弱性を悪用することで、ネットワーク上のリソースに不正にアクセスし、権限を昇格させることが可能です。影響を受けるバージョンは1.0.0以降であり、現時点では修正バージョンは提供されていません。緩和策として、ネットワークアクセス制限と入力検証を実施することが推奨されます。
このSSRF脆弱性は、攻撃者がExchange Onlineサーバーを介して内部ネットワーク上の機密情報にアクセスすることを可能にします。例えば、内部データベースやAPIエンドポイントへのアクセス、認証情報の窃取などが考えられます。攻撃者は、この脆弱性を利用して、Exchange Onlineサーバーの権限を昇格させ、より広範なシステムへのアクセスを試みる可能性があります。この脆弱性の悪用は、機密情報の漏洩、システムへの不正アクセス、さらにはネットワーク全体の停止を引き起こす可能性があります。SSRF攻撃は、内部ネットワークの構成によっては、広範囲に影響を及ぼす可能性があります。
CVE-2026-26137は、2026年3月19日に公開されました。現時点では、KEV(CISA Known Exploited Vulnerabilities)に登録されていません。公開されているPoC(Proof of Concept)は確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、今後積極的に悪用される可能性があります。NVD(National Vulnerability Database)の情報も参照し、最新の脅威動向を把握することが重要です。
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
現時点では、Microsoftから修正バージョンが提供されていないため、緩和策としてネットワークアクセス制限と入力検証を実施する必要があります。具体的には、Exchange Onlineサーバーからのアウトバウンドトラフィックを制限し、許可されたドメインのみへのアクセスを許可するファイアウォールルールを設定します。また、ユーザーからの入力を厳密に検証し、不正なURLやIPアドレスが含まれていないことを確認します。WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御することも有効です。Exchange Onlineのセキュリティ設定を定期的に見直し、最新の脅威に対応するように更新してください。
Microsoft はこの脆弱性に対処するためのセキュリティ更新プログラムをリリースしました。 SSRF を介した特権昇格のリスクを軽減するために、Microsoft が提供する最新の更新プログラムをできるだけ早く適用してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-26137は、Microsoft Exchange Onlineに存在するサーバーサイドリクエストフォージェリ(SSRF)の脆弱性であり、認証された攻撃者がネットワーク上で権限を昇格させる可能性があります。
Microsoft Exchange Onlineのバージョン1.0.0以降を使用している場合は、影響を受ける可能性があります。
現時点では修正バージョンは提供されていません。緩和策として、ネットワークアクセス制限と入力検証を実施してください。
現時点では、KEVに登録されておらず、PoCも確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、今後積極的に悪用される可能性があります。
Microsoftのセキュリティアドバイザリページで確認できます。詳細はMicrosoftの公式発表をご確認ください。
CVSS ベクトル