WACOCA NEWS
Microsoft 2026年3月の定例パッチで-公開済みゼロデイ2件とOffice・Excelの脆弱性が修正(CVE-2026-21262,CVE-2026-26127)
In Science & Technology

Microsoft 2026年3月の定例パッチで-公開済みゼロデイ2件とOffice・Excelの脆弱性が修正(CVE-2026-21262,CVE-2026-26127)|セキュリティニュースのセキュリティ対策Lab

Microsoft 2026年3月の定例パッチで-公開済みゼロデイ2件とOffice・Excelの脆弱性が修正(CVE-2026-21262,CVE-2026-26127)

Microsoftは2026年3月10日、2026年3月のセキュリティ更新プログラムを公開しました。Japan Security Teamの公式ブログでは、影響を受ける製品を利用している場合はできるだけ早期に更新を適用するよう呼びかけています。今回の公式リリースで特に強調されているのは、更新公開前に詳細が一般公開されていた2件の脆弱性で、CVE-2026-26127 .NETのサービス拒否の脆弱性と、CVE-2026-21262 SQL Serverの特権の昇格の脆弱性です。

公開済みゼロデイの1件目はSQL Server

CVE-2026-21262はSQL Serverの特権の昇格の脆弱性です。MicrosoftのSQL Server 2022向け更新KB5077465では、この脆弱性が3月10日のセキュリティ更新に含まれていると明記されており、更新後のSQL Server 2022 GDRビルドは16.0.1170.5です。SQL Server 2025向けのKB5077466でも同脆弱性が修正対象に含まれており、更新後ビルドは17.0.4020.2となっています。SQL Serverを業務基盤に使っている組織では、データベースサーバー側の更新確認を優先すべきです。

もう1件の公開済みゼロデイは.NET

CVE-2026-26127は.NETのサービス拒否の脆弱性です。.NET公式アドバイザリでは、不正なBase64Url入力のデコード時に発生するout-of-bounds readが原因と説明されており、CVSS v3.1は7.5、深刻度はHighです。影響は.NET 9.0、.NET 10.0、およびMicrosoft.Bcl.Memoryに及び、修正版は.NET 9系が9.0.14、.NET 10系が10.0.4です。アプリケーション開発や社内サービスで.NETランタイムや関連パッケージを使っている場合は、OS更新だけでなくランタイムと依存パッケージの両方を確認する必要があります。

Officeの脆弱性

Microsoftの2026年3月月例リリースでは、Microsoft Officeは製品ファミリ別一覧で最大深刻度が緊急、最も大きな影響がリモートでコードの実行が可能と整理されています。さらに、SharePoint向けの公式セキュリティ更新説明では、今回の更新がMicrosoft Officeのリモートコード実行の脆弱性を解決すると明記されています。対象として案内されているのはCVE-2026-26113です。

CVE-2026-26113の概要は、Microsoft Officeにおけるリモートコード実行の脆弱性です。CVEレコードでは、信頼できないポインターの逆参照により、認証されていない攻撃者がローカルでコードを実行できると説明されています。Microsoft公式月例リリースでもOfficeは緊急扱いであり、一般利用端末であっても優先的に更新すべき対象です。

SharePointの脆弱性

Microsoft SharePointも、公式リリースでは最大深刻度が緊急、最も大きな影響がリモートでコードの実行が可能とされています。SharePoint Server 2016および2019向けの公式セキュリティ更新説明では、今回の更新がSharePoint Serverのリモートコード実行の脆弱性2件と、スプーフィングの脆弱性1件を解決すると案内されています。対象CVEはCVE-2026-26114、CVE-2026-26106、CVE-2026-26105です。

CVE-2026-26114は、Microsoft Office SharePointにおける信頼できないデータのデシリアライズに起因するリモートコード実行の脆弱性です。CVEレコードでは、認証された攻撃者がネットワーク経由でコードを実行できるとされています。

CVE-2026-26106は、Microsoft Office SharePointにおける不適切な入力検証に起因するリモートコード実行の脆弱性です。こちらもCVEレコードでは、認証された攻撃者がネットワーク経由でコードを実行できると説明されています。

CVE-2026-26105は、Microsoft SharePoint Serverのスプーフィングの脆弱性です。SharePoint向け公式更新説明では、RCE 2件とあわせてこのスプーフィング脆弱性も解決対象に含まれています。

情シス部門が優先すべき対応

今回の公式リリースを基準に優先順位を付けるなら、まず公開済みゼロデイの対象であるSQL Serverと.NETを最優先に確認すべきです。そのうえで、Microsoftが緊急と位置付けているOfficeとSharePointの更新を速やかに適用する流れが現実的です。

この記事をシェアする

メールマガジン

最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。

投稿者:三村

セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。

セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。

WACOCA: People, Life, Style.