Kritische SharePoint-Sicherheitsluecke CVE-2026-45659 erlaubt Remote Code Execution

Foto des Autors

CyberSecureFox Editorial Team

Microsoft hat Sicherheitsupdates veröffentlicht, die die Schwachstelle CVE-2026-45659 in SharePoint Server beheben – einen Fehler bei der Deserialisierung nicht vertrauenswürdiger Daten mit einer Bewertung von CVSS 8.8, der es jedem authentifizierten Benutzer mit den minimalen Rechten eines Site Member ermöglicht, beliebigen Code auf dem Server über das Netzwerk auszuführen. Patches sind für SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Enterprise Server 2016 verfügbar. Obwohl Microsoft die Wahrscheinlichkeit einer Ausnutzung als gering einstuft, macht die Vorgeschichte von Angriffen auf SharePoint eine zeitnahe Aktualisierung zu einer vorrangigen Aufgabe für Administratoren.

Technische Details der Schwachstelle

Laut dem Microsoft-Bulletin gehört die Schwachstelle zur Klasse der Deserialisierung nicht vertrauenswürdiger Daten (CWE-502) in der Komponente Microsoft Office SharePoint. Zentrale Merkmale:

  • Angriffsvektor: Netzwerk – Ausnutzung ist aus der Ferne möglich
  • Erforderliche Privilegien: niedrig (PR:L) – Rechte eines Site Member genügen, Administratorprivilegien sind nicht erforderlich
  • Benutzerinteraktion: nicht erforderlich
  • Schweregrad: Important (nach der Klassifizierung von Microsoft)
  • CVSS-Bewertung: 8.8

Das Kernproblem besteht darin, dass SharePoint Server serialisierte Daten aus nicht vertrauenswürdigen Quellen nicht korrekt verarbeitet. Ein authentifizierter Angreifer mit den minimalen Rechten eines Site Member kann eine speziell präparierte Anfrage senden, die zur Ausführung beliebigen Codes auf dem Server führt. Das macht die Schwachstelle besonders gefährlich in Unternehmensumgebungen, in denen der Zugriff auf Ebene Site Member häufig einer breiten Gruppe von Mitarbeitern gewährt wird.

Betroffene Produkte und verfügbare Updates

Die Sicherheitsupdates wurden am 12. Mai 2026 für drei Produktversionen veröffentlicht:

Nach Angaben von Microsoft wurde die Schwachstelle von einem Forscher mit dem Pseudonym MEOW entdeckt und gemeldet.

Bewertung der Auswirkungen

Die Deserialisierung nicht vertrauenswürdiger Daten gehört zu den gefährlichsten Schwachstellenklassen bei Webanwendungen. Im Kontext von SharePoint Server bedeutet dies, dass ein kompromittiertes Benutzerkonto eines einfachen Mitarbeiters oder Auftragnehmers mit Basiszugriff auf die Site zum Einstiegspunkt für die vollständige Kompromittierung des Servers werden kann. Angesichts der Tatsache, dass SharePoint häufig vertrauliche Unternehmensdokumente, interne Richtlinien und Projektdaten speichert, können die Folgen eines erfolgreichen Angriffs Datenabfluss, laterale Bewegung im Netzwerk und eine dauerhafte Etablierung in der Infrastruktur umfassen.

Erwähnenswert ist, dass Microsoft bereits im April 2026 eine Spoofing-Schwachstelle in SharePoint Server (CVE-2026-32201, CVSS 6.5) behoben hat, die Berichten zufolge in realen Angriffen ausgenutzt wurde. Dies unterstreicht das anhaltende Interesse von Angreifern an der Plattform SharePoint als Angriffsvektor.

Microsoft stuft die Wahrscheinlichkeit einer Ausnutzung von CVE-2026-45659 als gering ein, und zum Zeitpunkt der Veröffentlichung sind keine bestätigten Fälle eines Einsatzes der Schwachstelle in realen Angriffen bekannt. Die Schwachstelle ist zudem nicht aufgenommen in den CISA-KEV-Katalog.

Empfehlungen

  • Installieren Sie die Sicherheitsupdates KB5002863, KB5002870 oder KB5002868 – abhängig von der verwendeten Version von SharePoint Server. Trotz der von Microsoft vergebenen Einstufung „weniger wahrscheinlich ausnutzbar“ rechtfertigen der CVSS-Score 8.8 und die niedrige Einstiegshürde für Angreifer eine priorisierte Aktualisierung.
  • Führen Sie einen Audit der Konten mit Rechten als Site Member und höher durch. Entziehen Sie überflüssige Berechtigungen von inaktiven Nutzern und externen Auftragnehmern.
  • Überprüfen Sie die Protokolle von SharePoint auf ungewöhnliche Anfragen, insbesondere solche mit untypischen serialisierten Objekten, die von Konten mit Basisrechten stammen.
  • Erwägen Sie eine Segmentierung des Netzwerks – beschränken Sie den direkten Netzwerkzugang zu SharePoint-Servern, indem Sie Reverse Proxys und WAFs mit Regeln zur Erkennung von Deserialisierungsangriffen einsetzen.

Administratoren von SharePoint Server wird empfohlen, die entsprechenden Updates im nächstmöglichen Wartungsfenster zu installieren und dabei besonderes Augenmerk auf Server zu legen, die aus externen Netzwerken erreichbar sind oder einer großen Zahl von Benutzern mit Site-Member-Rechten Zugriff bieten. Parallel dazu sollte eine Überprüfung der Berechtigungen erfolgen – die Reduzierung der Anzahl von Konten mit Rechten als Site Member verringert die Angriffsfläche für CVE-2026-45659 unmittelbar.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen