CVE-2026-45659 w SharePoint trafiła do CISA KEV po potwierdzeniu aktywnej eksploatacji - Security Bez Tabu

CVE-2026-45659 w SharePoint trafiła do CISA KEV po potwierdzeniu aktywnej eksploatacji

Cybersecurity news

Wprowadzenie do problemu / definicja

CVE-2026-45659 to podatność typu remote code execution (RCE) w lokalnych wdrożeniach Microsoft SharePoint Server. Problem wynika z deserializacji niezaufanych danych, co może umożliwić uruchomienie nieautoryzowanego kodu po stronie serwera. W środowiskach firmowych jest to szczególnie groźne, ponieważ SharePoint często pełni rolę centralnej platformy do współpracy, przechowywania dokumentów i obsługi procesów biznesowych.

W skrócie

Agencja CISA dodała CVE-2026-45659 do katalogu Known Exploited Vulnerabilities po potwierdzeniu aktywnego wykorzystania luki. Podatność dotyczy Microsoft SharePoint Server i została oceniona na 8.8 w skali CVSS. Atak wymaga uwierzytelnienia, ale nie wymaga uprawnień administracyjnych, co znacząco obniża próg wejścia dla napastnika dysponującego przejętym lub legalnym kontem o niskich uprawnieniach.

  • dotyczy lokalnych wdrożeń SharePoint Server,
  • umożliwia zdalne wykonanie kodu,
  • wymaga uwierzytelnionego konta z ograniczonym dostępem,
  • została objęta poprawkami Microsoftu,
  • jest już uwzględniona w katalogu CISA KEV.

Kontekst / historia

Luka została publicznie opisana przez Microsoft w maju 2026 roku. Obejmuje trzy szeroko stosowane wersje SharePoint wdrażane on-premises, czyli poza chmurą. Następnie 1 lipca 2026 roku podatność została dodana do katalogu CISA KEV, co formalnie potwierdziło, że nie jest już wyłącznie ryzykiem teoretycznym, lecz realnym wektorem ataku obserwowanym w środowiskach produkcyjnych.

Wpis do KEV ma znaczenie operacyjne dla zespołów bezpieczeństwa. Dla instytucji publicznych w USA oznacza obowiązek szybkiego wdrożenia działań naprawczych, ale również organizacje komercyjne traktują taki status jako sygnał do natychmiastowego podniesienia priorytetu patchingu, monitoringu i analizy potencjalnych oznak kompromitacji.

Analiza techniczna

CVE-2026-45659 została sklasyfikowana jako CWE-502, czyli deserializacja niezaufanych danych. Tego rodzaju błąd pojawia się, gdy aplikacja odtwarza obiekty z danych wejściowych bez odpowiedniej walidacji lub zabezpieczeń. Jeśli atakujący może wpłynąć na ten proces, może doprowadzić do wykonania niepożądanych ścieżek kodu, a w sprzyjających warunkach do pełnego wykonania poleceń na serwerze.

Istotną cechą tej luki jest połączenie zdalnego wektora ataku, niskiej złożoności eksploatacji, braku potrzeby interakcji użytkownika oraz niskiego poziomu wymaganych uprawnień. To nie jest podatność typu pre-auth RCE, ale w praktyce wystarczy konto odpowiadające roli członka witryny, aby uruchomić scenariusz ataku.

Scenariusze wykorzystania mogą obejmować przejęcie konta przez phishing, użycie poświadczeń pozyskanych z wcześniejszych incydentów, nadużycie nadmiernie uprzywilejowanych kont użytkowników, a także wykorzystanie kont usługowych lub tymczasowych kont partnerów zewnętrznych. W przypadku środowisk z szerokim dostępem do SharePoint ryzyko gwałtownie rośnie.

Znane podatne wersje obejmują:

  • Microsoft SharePoint Enterprise Server 2016 dla systemów x64 w wersjach wcześniejszych niż 16.0.5552.1002,
  • Microsoft SharePoint Server 2019 dla systemów x64 w wersjach wcześniejszych niż 16.0.10417.20128,
  • Microsoft SharePoint Server Subscription Edition dla systemów x64 w wersjach wcześniejszych niż 16.0.19725.20280.

Po uzyskaniu wykonania kodu na serwerze SharePoint napastnik może próbować utrzymać trwałość, pozyskiwać dokumenty i dane poufne, poruszać się bocznie po sieci, nadużywać relacji z Active Directory oraz przygotować środowisko pod wdrożenie ransomware lub innych narzędzi post-eksploatacyjnych.

Konsekwencje / ryzyko

Ryzyko biznesowe związane z CVE-2026-45659 należy ocenić jako wysokie. SharePoint często obsługuje dokumenty projektowe, umowy, dane działów HR, zasoby prawne, komunikację zespołową i procesy akceptacyjne. Kompromitacja takiego systemu może szybko przełożyć się na naruszenie poufności, integralności i dostępności danych.

  • zdalne wykonanie kodu na serwerze aplikacyjnym,
  • kradzież dokumentów i danych wrażliwych,
  • dalsza eskalacja uprawnień,
  • lateral movement do innych systemów Windows,
  • wdrożenie backdoorów lub ransomware,
  • długotrwała obecność napastnika w środowisku.

Dodanie luki do katalogu KEV jest ważnym sygnałem, że exploit został już wykorzystany w praktyce. Dla obrońców oznacza to konieczność odejścia od założenia, że problem można potraktować jako planową aktualizację. W tym przypadku mowa o podatności, która wymaga pilnej reakcji operacyjnej.

Rekomendacje

Organizacje korzystające z lokalnych wdrożeń SharePoint powinny potraktować CVE-2026-45659 jako priorytet w zarządzaniu podatnościami i reagowaniu na incydenty.

  • Niezwłocznie zweryfikować wersje wszystkich instancji SharePoint i wdrożyć poprawki bezpieczeństwa.
  • Ograniczyć ekspozycję usług, zwłaszcza dla instancji dostępnych z sieci zewnętrznych lub przez segmenty o podwyższonym ryzyku.
  • Przeprowadzić przegląd uprawnień i usunąć nieużywane, tymczasowe oraz nadmiarowe konta z dostępem do witryn.
  • Wzmocnić ochronę tożsamości poprzez MFA, monitoring anomalii logowania i kontrolę ryzyka dla kont uprzywilejowanych.
  • Monitorować telemetrię serwerów SharePoint pod kątem nietypowych operacji wykonywanych przez konta o niskich uprawnieniach.
  • Wykonać retrospektywną analizę logów i artefaktów systemowych, aby sprawdzić, czy luka nie została już wykorzystana przed wdrożeniem łaty.
  • Segmentować sieć i ograniczać komunikację SharePoint z krytycznymi zasobami, aby zmniejszyć skutki ewentualnej kompromitacji.
  • Przygotować procedury IR uwzględniające możliwość działania wielu aktorów zagrożeń w tej samej infrastrukturze.

Podsumowanie

CVE-2026-45659 to poważna podatność RCE w Microsoft SharePoint Server, której aktywna eksploatacja została potwierdzona. Choć atak wymaga uwierzytelnienia, niski próg wymaganych uprawnień sprawia, że przejęte konto zwykłego użytkownika może wystarczyć do rozpoczęcia kompromitacji serwera. Dla organizacji oznacza to konieczność natychmiastowego patchingu, przeglądu uprawnień, analizy logów oraz oceny, czy infrastruktura SharePoint nie została już wykorzystana jako punkt wejścia do szerszego incydentu.

Źródła

  1. https://thehackernews.com/2026/07/sharepoint-rce-cve-2026-45659-added-to.html
  2. https://nvd.nist.gov/vuln/detail/CVE-2026-45659
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45659
  4. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-45659