2025年10月24日、Microsoft は Windows Server Update Services(WSUS)に影響するリモートコード実行(RCE)脆弱性(CVE-2025-59287)に対し、アウト・オブ・バンド(OOB)の緊急セキュリティ更新プログラムを公開しました。既に概念実証(PoC)コードが公開されており、未対策環境では認証不要・低難易度で SYSTEM 権限のコード実行を許すことから、WSUS サーバ間で連鎖的に広がるおそれ(wormable)が指摘されています。
影響範囲と前提条件
-
影響対象はWSUS Server Role が有効な Windows Serverに限られます(既定では無効)
-
WSUS ロールが無効なサーバは本脆弱性の影響を受けません。
-
WSUS ロールを有効化する前に修正を適用しないと、有効化と同時に脆弱になります。
-
提供された更新プログラム(OOB)
以下のサーバ向けに修正が提供されています。適用後は再起動が必要です。
-
Windows Server 2025(KB5070881)
-
Windows Server, version 23H2(KB5070879)
-
Windows Server 2022(KB5070884)
-
Windows Server 2019(KB5070883)
-
Windows Server 2016(KB5070882)
-
Windows Server 2012 R2(KB5070886)
-
Windows Server 2012(KB5070887)
※ Hotpatch 対応版(Windows Server 2022 / 2025 向けのスタンドアロン更新)も 10 月 24 日に提供開始されていますが、WSUS が有効なサーバでは再起動が必要です。
※ 本更新は累積のため、先行する更新を事前適用する必要はありません。未適用の場合は通常の 10 月定例更新よりも本 OOB を優先して適用するよう案内されています。
※ これ以降の更新では、WSUS の同期エラー詳細表示が一時的に無効化されます(CVE 対応の一環)。








