Windows Serverのセキュリティパッチが緊急公開、「WSUS」にリモートコード実行の脆弱性

同社のリリース

　米Microsoftは10月23日（現地時間）、「Windows Server Update Services」（WSUS）のWSUS Reporting Web Serviceでリモートコード実行（RCE）の脆弱性（「CVE-2025-59287」を確認したとして、更新プログラムを定例外（Out of Bound：OOB）でリリースした。Windows Serverの各バージョンで、以下のパッチが提供中だ。

• Windows Server 2025：KB5070881
• Windows Server バージョン 23H2：KB5070879
• Windows Server 2022：KB5070884
• Windows Server 2019：KB5070883
• Windows Server 2016：KB5070882
• Windows Server 2012 R2：KB5070886
• Windows Server 2012：KB5070887

　パッチの適用を完了するには、OSの再起動が必要。すでに概念実証（PoC）コードが明らかにされており、セキュリティ攻撃に悪用される可能性がある。できるだけ早い対応が必要だ。

　なお、これらの更新プログラムは“累積的”、つまり以前の修正をすべて含んだものとなっている。たとえば「Windows Server 2025」に「KB5070881」が適用されていれば、2025年10月のセキュリティパッチ「KB5066835」など、古いパッチをわざわざインストールする必要はない。

　また、「WSUS」サーバーの機能が有効になっていないサーバーは「CVE-2025-59287」の影響を受けない。そのため、今回リリースされたパッチを適用する必要はない。