Exchange Serverのゼロデイが攻撃に悪用される　マイクロソフトが警告（CVE-2026-42897）

Exchange Serverのゼロデイが攻撃に悪用される　マイクロソフトが警告（CVE-2026-42897）

SecurityWeek – May 15, 2026

マイクロソフトは先週、月例パッチで137件の脆弱性を修正したものの、わずか48時間後の5月14日に新たなゼロデイ脆弱性を開示。攻撃での悪用が検出されている旨を伝えた。

この脆弱性はCVE-2026-42897として追跡され、Microsoft Exchange ServerのSubscription Edition、2016、2019の各バージョンに影響を与えるもの。アドバイザリには「Microsoft Exchange ServerにおけるWebページ生成時の入力の不適切な無効化（クロスサイトスクリプティング）により、不正な攻撃者がネットワーク上でなりすましを実行できる」と記された。

マイクロソフトの説明によると、攻撃者が標的ユーザーに細工されたメールを送信し、受信者がMicrosoft  Exchange Outlook Web Access（OWA）でこのメールを開くと、特定の操作条件が満たされた場合、ブラウザのコンテキストで任意のJavaScriptが実行される可能性があるという。パッチは現在開発中で、ユーザーに対してはいくつかの緩和策が共有されている。

米CISAもCVE-2026-42897をKEVカタログに追加し、5月29日までの対応を米連邦政府機関に命じた。なお、CVE-2026-42897を悪用した攻撃に関する情報は一切公開されていない。

NGINXの脆弱性、公開直後に悪用されていることが明らかに（CVE-2026-42945）

The Hacker News – May 17, 2026

脆弱性インテリジェンス企業VulnCheckによると、NGINX PlusおよびNGINX Openに影響を与える新たなセキュリティ脆弱性が、公開からわずか数日で悪用されていることが明らかになった。

この脆弱性はCVE-2026-42945（CVSSスコア：9.2）として追跡され、ngx_http_rewrite_moduleにおけるヒープバッファオーバーフローの脆弱性と説明されている。NGINXのバージョン0.6.27〜1.30.0に影響を与え、AIネイティブセキュリティ企業depthfirstの報告では2008年に混入し、18年間にわたり発見されずに見過ごされてきたようだ。

攻撃に悪用された場合、未認証の攻撃者がワーカープロセスをクラッシュさせる、あるいは細工されたHTTPリクエストを用いてリモートコードを実行できるようになるという。ただしコード実行については、メモリベースの攻撃に対する防御策のアドレス空間配置ランダム化（ASLR）が無効になっているデバイスでのみ可能とされる。

VulnCheckの調査結果によると、この脆弱性は攻撃で悪用され始めており、同社のハニーポットネットワークに対する攻撃が検知されているとのこと。攻撃活動の性質と最終目標は現時点でわかっていない。

上記の脆弱性とは別に、VulnCheckは最近、データセンターインフラストラクチャ管理に使用されるオープンソースアプリopenDCIMの重大な脆弱性2件を標的とした攻撃が行われていることも明らかにした。これらの脆弱性はCVE-2026-28515、CVE-2026-28517として追跡されており、いずれもCVSSスコアで9.3と評価されている。