Источник: The Hacker News — https://thehackernews.com/2026/05/microsoft-patches-sharepoint-rce-flaw.html
Microsoft выпустила исправление для CVE-2026-45659 — уязвимости удаленного выполнения кода в SharePoint Server. По данным компании, атакующий с учетной записью и минимальными правами Site Member может использовать ее по сети.
Microsoft оценивает проблему как Important, CVSS — 8.8. Компания считает эксплуатацию «less likely», но это не повод откладывать обновление для открытых или широко используемых установок SharePoint. Порог прав низкий, цель обычно важная, а SharePoint уже не раз становился удобной инфраструктурой для атакующих, когда появлялся рабочий путь эксплуатации.
Что исправила Microsoft#
CVE-2026-45659 описана Microsoft как ошибка десериализации недоверенных данных в Microsoft Office SharePoint. Практический риск не сводится к компрометации приложения: Microsoft прямо указывает, что авторизованный атакующий может удаленно выполнить код на SharePoint Server.
Формулировка в бюллетене важна. Microsoft пишет, что уязвимость можно задействовать в сетевой атаке с учетной записью, у которой есть минимальные права Site Member. Права администратора или другие повышенные привилегии не нужны.
Из-за этого уязвимость отличается от багов, где требуется привилегированная роль в SharePoint, локальный доступ или особая конфигурация. В зависимости от среды и наличия патча уязвимому серверу может хватить скомпрометированной учетной записи с низкими правами, чтобы начать цепочку атаки.
Microsoft поблагодарила исследователя MEOW за обнаружение и сообщение об уязвимости.
Затронутые версии и объем обновления#
По данным The Hacker News, Microsoft выпустила обновления для:
- SharePoint Server Subscription Edition
- SharePoint Enterprise Server 2016
Организациям с этими версиями стоит считать обновление серверным приоритетом, особенно если SharePoint доступен из широких внутренних сетей, через партнерские каналы, для VPN-пользователей или из интернета.
В исходном материале не сказано, что затронут SharePoint Server 2019, не приведены номера сборок, нет эксплуатационного кода, индикаторов компрометации или телеметрии активных атак. Эти ограничения важны. Речь о патче с заметным риском, а не о подтвержденной массовой эксплуатации.
Почему это важно даже без активных атак#
Аутентифицированные RCE часто попадают в неприятную серую зону. Они не выглядят так же срочно, как неаутентифицированные баги на публичных сервисах, но и безопасными их назвать нельзя.
SharePoint обычно хранит документы, рабочие процессы, внутренние списки, права, привязанные к учетным записям, и интеграции с остальной средой Microsoft. Возможность удаленно выполнить код на сервере может стать точкой для дальнейшего продвижения, а не просто проблемой доступа к данным.
Ключевая деталь — низкий уровень нужных прав. Во многих организациях Site Member есть у большого числа сотрудников из разных отделов, подрядчиков и участников проектных пространств. Если одну такую учетную запись украдут через фишинг, найдут в логах инфостилера или ею злоупотребит инсайдер, уязвимость может дать атакующему куда более сильную позицию, чем должна давать сама учетная запись.
Поэтому слово «аутентифицированный» не стоит читать как «низкий риск». В корпоративных сетях валидные учетные данные — один из самых частых активов атакующих.
Чего не стоит утверждать#
В предоставленном источнике нет заявления, что CVE-2026-45659 уже эксплуатируют в реальных атаках. Microsoft, по сообщениям, считает эксплуатацию менее вероятной. Это важно учитывать при оценке риска.
Это также не та же уязвимость, что SharePoint spoofing, которую Microsoft исправила в прошлом месяце. The Hacker News указывает для нее CVE-2026-45660, CVSS 6.5, и отмечает, что она уже эксплуатировалась в реальных атаках. Сравнение полезно только как контекст: уязвимости SharePoint стабильно интересуют атакующих. Оно не доказывает, что новая RCE уже используется.
Более аккуратный вывод такой: Microsoft закрыла высокооцененную RCE в SharePoint, доступную аутентифицированным пользователям с низкими правами, и организациям стоит обновиться до того, как интерес атакующих догонит патч.
Практические проверки для защитников#
Сначала установите патч. Если в организации используются затронутые версии SharePoint, это самое простое и полезное действие.
После этого проверьте модель доступности. SharePoint-сервер, открытый в интернет, доступный большой группе VPN-пользователей или широкому кругу партнеров, требует более быстрой реакции, чем жестко сегментированный внутренний экземпляр с ограниченным числом пользователей. Патчить нужно оба варианта, но порядок важен, когда у команды одновременно слишком много исправлений.
Командам безопасности стоит проверить:
- какие версии SharePoint Server развернуты
- активны ли системы на Subscription Edition или SharePoint Enterprise Server 2016
- доступны ли эти системы из интернета или из сетей удаленного доступа
- сколько пользователей с низкими правами Site Member есть на чувствительных сайтах
- показывают ли недавние логи аутентификации необычный доступ из новых стран, с новых устройств или паттерны impossible travel
- есть ли в серверных логах аномальные запросы от обычных учетных записей Site Member после выхода патча
Источник не дает известных индикаторов, поэтому не стоит имитировать точность. Начните с паттернов доступа, поведения учетных записей, серверных аномалий и проверки, что патч действительно установлен.
Настоящий риск — расползание прав#
Технически уязвимость связана с десериализацией. Корпоративный риск — в разрастании прав.
Среды SharePoint часто стареют плохо. Сайты множатся. Группы участников переживают завершенные проекты. Подрядчики остаются в списках доступа. Внутренние пользователи накапливают разрешения, потому что забрать доступ организационно сложнее, чем выдать.
Уязвимость, которой достаточно прав Site Member, попадает прямо в это слабое место. Атакующему не нужна самая привилегированная учетная запись в компании. Ему нужна одна полезная учетная запись в подходящем месте и уязвимый сервер.
Именно в этом практический урок CVE-2026-45659. Закройте баг, но заодно посмотрите на радиус поражения, который создают обычные членства в SharePoint. Низкие права означают низкий риск только тогда, когда платформа действительно ставит за ними жесткую границу.