Microsoft выпустила обновления безопасности, устраняющие уязвимость CVE-2026-45659 в SharePoint Server — ошибку десериализации недоверенных данных с оценкой CVSS 8.8, которая позволяет любому аутентифицированному пользователю с минимальными правами участника сайта (Site Member) выполнить произвольный код на сервере по сети. Патчи доступны для SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016. Хотя Microsoft оценивает вероятность эксплуатации как низкую, история атак на SharePoint делает оперативное обновление приоритетной задачей для администраторов.
Технические детали уязвимости
Согласно бюллетеню Microsoft, уязвимость относится к классу десериализации недоверенных данных (CWE-502) в компоненте Microsoft Office SharePoint. Ключевые характеристики:
- Вектор атаки: сетевой — эксплуатация возможна удалённо
- Требуемые привилегии: низкие (PR:L) — достаточно прав Site Member, привилегии администратора не требуются
- Взаимодействие пользователя: не требуется
- Уровень серьёзности: Important (по классификации Microsoft)
- Оценка CVSS: 8.8
Суть проблемы в том, что SharePoint Server некорректно обрабатывает сериализованные данные, поступающие из ненадёжных источников. Аутентифицированный атакующий, имеющий минимальные права участника сайта, может отправить специально сформированный запрос, который приведёт к выполнению произвольного кода на сервере. Это делает уязвимость особенно опасной в корпоративных средах, где доступ уровня Site Member часто предоставляется широкому кругу сотрудников.
Затронутые продукты и доступные обновления
Обновления безопасности были выпущены 12 мая 2026 года для трёх версий продукта:
- SharePoint Server Subscription Edition — KB5002863
- SharePoint Server 2019 — KB5002870
- SharePoint Enterprise Server 2016 — KB5002868
По данным Microsoft, уязвимость была обнаружена и передана исследователем под псевдонимом MEOW.
Оценка воздействия
Десериализация недоверенных данных — один из наиболее опасных классов уязвимостей в веб-приложениях. В контексте SharePoint Server это означает, что скомпрометированная учётная запись рядового сотрудника или подрядчика с базовым доступом к сайту может стать точкой входа для полной компрометации сервера. Учитывая, что SharePoint часто хранит конфиденциальные корпоративные документы, внутренние регламенты и данные проектов, последствия успешной атаки могут включать утечку данных, горизонтальное перемещение по сети и закрепление в инфраструктуре.
Стоит отметить, что в апреле 2026 года Microsoft уже исправляла уязвимость подмены в SharePoint Server (CVE-2026-32201, CVSS 6.5), которая, как сообщается, эксплуатировалась в реальных атаках. Это подтверждает устойчивый интерес злоумышленников к платформе SharePoint как к вектору атак.
Microsoft оценивает вероятность эксплуатации CVE-2026-45659 как низкую, и на момент публикации подтверждённых случаев использования уязвимости в реальных атаках нет. Уязвимость также не внесена в каталог CISA KEV.
Рекомендации
- Установите обновления безопасности KB5002863, KB5002870 или KB5002868 в зависимости от используемой версии SharePoint Server. Несмотря на оценку Microsoft «менее вероятна эксплуатация», оценка CVSS 8.8 и низкий порог входа для атакующего обосновывают приоритетное обновление.
- Проведите аудит учётных записей с правами Site Member и выше. Отзовите избыточные разрешения у неактивных пользователей и внешних подрядчиков.
- Проверьте журналы SharePoint на предмет аномальных запросов, особенно содержащих нетипичные сериализованные объекты, от учётных записей с базовыми правами.
- Рассмотрите сегментацию сети — ограничьте прямой сетевой доступ к серверам SharePoint, используя обратные прокси и WAF с правилами обнаружения атак на десериализацию.
Администраторам SharePoint Server рекомендуется установить соответствующие обновления в ближайшее окно обслуживания, уделив особое внимание серверам, доступным из внешних сетей или предоставляющим доступ большому числу пользователей с правами Site Member. Параллельно стоит провести ревизию разрешений — сокращение числа учётных записей с правами участника сайта напрямую уменьшает поверхность атаки для CVE-2026-45659.
