セキュリティ

SECURITY

公開：2025-01-22

【CVE-2025-21393】Microsoft SharePoint Serverにスプーフィング脆弱性、複数バージョンで更新プログラムの適用が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft SharePoint Serverに深刻なスプーフィング脆弱性を確認
• SharePoint Enterprise Server 2016など複数バージョンが影響を受ける
• CVSSスコア6.3のミディアムリスクと評価される脆弱性

Microsoft SharePoint Serverのスプーフィング脆弱性

Microsoftは2025年1月14日、Microsoft SharePoint Serverに存在するスプーフィング脆弱性【CVE-2025-21393】を公開した。この脆弱性はCWE-79に分類される深刻な問題で、WebページでのXSSを引き起こす可能性があることが判明している。なお、CVSSスコアは6.3でミディアムリスクと評価されている。^[1]

影響を受けるバージョンはSharePoint Enterprise Server 2016では16.0.0から16.0.5483.1001未満、SharePoint Server 2019では16.0.0から16.0.10416.20041未満、SharePoint Server Subscription Editionでは16.0.0から16.0.17928.20356未満となっている。この脆弱性は攻撃者がネットワークを介して攻撃を実行できる可能性があるため、早急な対応が推奨される。

CISAの評価によると、この脆弱性は自動化された攻撃への耐性があり、技術的な影響は部分的とされている。また、攻撃には特権レベルが必要で、ユーザーの操作も必要となるため、直ちに深刻な被害が発生する可能性は低いと判断されている。

SharePoint Serverの脆弱性情報まとめ

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションにおける代表的な脆弱性の一つで、攻撃者が悪意のあるスクリプトをWebページに挿入できる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザーの入力データが適切にサニタイズされずにWebページに出力される
• 攻撃者は悪意のあるJavaScriptを実行してユーザーの情報を窃取できる
• セッションハイジャックやフィッシング攻撃に悪用される可能性がある

SharePoint Serverで発見された脆弱性は、入力値の検証が不十分であることに起因している。攻撃者はこの脆弱性を悪用して正規のユーザーになりすまし、ユーザーの権限で不正な操作を実行する可能性がある。SharePointが広く企業で利用されているプラットフォームであることを考慮すると、早急な対策が求められる。

SharePoint Serverのスプーフィング脆弱性に関する考察

SharePointは企業の重要な情報資産を扱うプラットフォームであり、今回の脆弱性はユーザーになりすましてシステムにアクセスできる可能性があることから、適切な対応が不可欠である。企業の情報セキュリティ担当者は、影響を受けるバージョンを使用しているシステムの特定と、パッチ適用の計画立案を早急に進める必要があるだろう。

SharePointのように広く利用されているプラットフォームでは、脆弱性の影響範囲が広大になる可能性がある。そのため、開発者はユーザー入力の適切な検証やサニタイズ処理の実装を徹底し、セキュリティバイデザインの考え方に基づいた開発を進めることが重要だ。

また、企業のセキュリティ担当者は定期的な脆弱性診断やペネトレーションテストを実施し、新たな脅威に対する予防的な対策を講じることが望ましい。SharePointの重要性を考慮すると、多層的な防御戦略の構築が今後の課題となるだろう。

参考サイト

1. ^ CVE. 「CVE-2025-21393 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21393, (参照 25-01-22).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧