B
今週中
Microsoft SharePointにおいて、認証なしでリモートコード実行(RCE)が可能な深刻な脆弱性(CVE-2026-20963)
📌 一言でいうと
Microsoft SharePointにおいて、認証なしでリモートコード実行(RCE)が可能な深刻な脆弱性(CVE-2026-20963)が確認されました。この脆弱性は信頼できないデータのデシリアライゼーションに起因し、CVSSスコアは9.8と非常に高く、CISAの既知の悪用済み脆弱性(KEV)カタログにも追加されています。また、2026年3月のリリースで他に3つのRCE脆弱性が修正されており、迅速なアップデートが推奨されています。
🔍該当判定
- 自社でMicrosoft SharePointのサーバーを構築・運用している
- SharePointサーバーをインターネットからアクセス可能な状態で公開している
- Microsoft SharePointの最新アップデート(2026年3月分)をまだ適用していない
上記いずれにも該当しない → 静観でOK
✅該当時の対応
インターネットに公開されているSharePointサーバーを最優先に、最新のセキュリティ更新プログラムを適用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Microsoft SharePoint CVE-2026-20963 等の脆弱性対応について
お疲れさまです。Microsoft SharePointの深刻な脆弱性に関する情報共有です。
■ 概要
認証なしでリモートコード実行(RCE)が可能な脆弱性 CVE-2026-20963 (CVSS 9.8) が公開されました。信頼できないデータのデシリアライゼーションに起因するもので、CISAのKEVカタログに登録されており、既に悪用が確認されています。また、3月の更新で他に3つのRCE脆弱性も修正されています。
■ 影響範囲
- Microsoft SharePoint
■ 対応手順
1. インターネットに公開しているSharePointサーバーの優先的なアップデートを確認してください。
2. 2026年3月(および1月)のセキュリティ更新プログラムを適用してください。
■ 参考情報
- Microsoft Security Advisory
- CISA Known Exploited Vulnerabilities (KEV) Catalogue
対応優先度: 高
対応期限: 至急
お疲れさまです。Microsoft SharePointの深刻な脆弱性に関する情報共有です。
■ 概要
認証なしでリモートコード実行(RCE)が可能な脆弱性 CVE-2026-20963 (CVSS 9.8) が公開されました。信頼できないデータのデシリアライゼーションに起因するもので、CISAのKEVカタログに登録されており、既に悪用が確認されています。また、3月の更新で他に3つのRCE脆弱性も修正されています。
■ 影響範囲
- Microsoft SharePoint
■ 対応手順
1. インターネットに公開しているSharePointサーバーの優先的なアップデートを確認してください。
2. 2026年3月(および1月)のセキュリティ更新プログラムを適用してください。
■ 参考情報
- Microsoft Security Advisory
- CISA Known Exploited Vulnerabilities (KEV) Catalogue
対応優先度: 高
対応期限: 至急
Subject: [Urgent] Remediation for Microsoft SharePoint Vulnerabilities (CVE-2026-20963)
Dear IT/Security Team,
This is an alert regarding critical vulnerabilities affecting Microsoft SharePoint.
■ Overview
CVE-2026-20963 is a critical unauthenticated remote code execution (RCE) vulnerability with a CVSS score of 9.8. It stems from the deserialization of untrusted data and has been added to CISA's KEV catalog, indicating active exploitation. Additionally, three other RCE flaws were patched in the March 2026 release.
■ Scope
- Microsoft SharePoint
■ Remediation Steps
1. Prioritize the update of all internet-facing SharePoint servers.
2. Apply the March 2026 security updates and ensure January 2026 advisories are addressed.
■ Reference
- Microsoft Security Advisory
- CISA KEV Catalogue
Priority: High
Deadline: Immediate
Dear IT/Security Team,
This is an alert regarding critical vulnerabilities affecting Microsoft SharePoint.
■ Overview
CVE-2026-20963 is a critical unauthenticated remote code execution (RCE) vulnerability with a CVSS score of 9.8. It stems from the deserialization of untrusted data and has been added to CISA's KEV catalog, indicating active exploitation. Additionally, three other RCE flaws were patched in the March 2026 release.
■ Scope
- Microsoft SharePoint
■ Remediation Steps
1. Prioritize the update of all internet-facing SharePoint servers.
2. Apply the March 2026 security updates and ensure January 2026 advisories are addressed.
■ Reference
- Microsoft Security Advisory
- CISA KEV Catalogue
Priority: High
Deadline: Immediate