Microsoft が 2026年5月の累積更新プログラム(CU)で、SharePoint Server の全オンプレミスバージョンに影響するリモートコード実行(RCE)脆弱性を含む計10件のセキュリティ修正を提供開始した。Critical 評価の RCE が2件含まれており、オンプレミス SharePoint を運用する組織は速やかな対応が求められる。
修正対象のバージョンと KB 番号
今月の更新は以下のバージョンに適用される。
バージョン 言語非依存 言語依存
SharePoint Server 2016 KB5002868 KB5002869
SharePoint Server 2019 KB5002870 KB5002872
SharePoint Server SE KB5002863 (CU と同一)
Office Online Server KB5002871 —
Microsoft はセキュリティ修正を単体で適用するのではなく、完全な CU を適用することを強く推奨している。SharePoint Server Subscription Edition(SE)については、5月 CU 自体がセキュリティ修正と同一内容となっている。
また今月の更新は Microsoft Update 経由での自動配信も実施されている。Windows Update を受け入れる設定にしているファームでは、意図せず更新が開始される可能性がある点に注意が必要だ。
今月修正された脆弱性一覧
計10件の脆弱性が修正された。Critical 評価が2件、残る8件は Important 評価の RCE または情報漏えい(Information Disclosure)だ。
CVE 影響バージョン 種別 深刻度
CVE-2026-33110 2016, 2019, SE RCE Important
CVE-2026-33112 2016, 2019, SE RCE Important
CVE-2026-35439 2016, 2019, SE RCE Important
CVE-2026-40357 2016, 2019, SE RCE Important
CVE-2026-40359 2019 のみ RCE Important
CVE-2026-40360 2019 のみ 情報漏えい Important
CVE-2026-40362 2019 のみ RCE Important
CVE-2026-40365 2016, 2019, SE RCE Critical
CVE-2026-40367 2016, 2019, SE RCE Critical
CVE-2026-40368 2016, 2019, SE RCE Important
Critical の2件(CVE-2026-40365 と CVE-2026-40367)はどちらもリモートコード実行で、SharePoint Server の全オンプレミスバージョンに共通して影響する。Critical 評価の RCE は一般に「悪用可能性が高い」と判断されており、適用を先送りするリスクは高い。
⚠️ 2025年9月 CU 適用済み環境への重要な注意
現在のパッチレベルが 2025年9月 CU の場合、そのままセキュリティ修正を適用するとインストールが失敗する既知の問題がある。事前に以下いずれかの対処が必要だ。
方法1: PowerShell スクリプトで権限を修正する
出典: この記事は SharePoint security fixes released with May 2026 PU and offered through Microsoft Update の内容をもとに、筆者の見解を加えて独自に執筆したものです。