独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月2日、複数のMicrosoft Office製品における信頼できない検索パスの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の松本一真氏が報告を行っている。影響を受けるシステムは以下の通り。
Microsoft Office Deployment Tool 1.0から16.0.19426.20170までのバージョン
Microsoft SharePoint Server Subscription Edition 16.0.0から16.0.19127.20442までのバージョン
Microsoft SharePoint Enterprise Server 2016 16.0.0から16.0.5535.1001までのバージョン
Microsoft Office 2016(64-bit edition)16.0.0から16.0.5535.1000までのバージョン
Microsoft Office 2016(32-bit edition)16.0.0から16.0.5535.1000までのバージョン
Microsoft SharePoint Server 2019 16.0.0から16.0.10417.20083までのバージョン
複数のMicrosoft Office製品には、信頼できない検索パスの脆弱性(CVE-2026-20943)が存在し、ローカルの攻撃者によって、認証無しで任意のコードを実行される可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
