Microsoft випустила оновлення безпеки, які усувають вразливість CVE-2026-45659 у SharePoint Server — помилку десеріалізації недовірених даних з оцінкою CVSS 8.8, що дає змогу будь-якому автентифікованому користувачу з мінімальними правами учасника сайту (Site Member) виконати довільний код на сервері по мережі. Патчі доступні для SharePoint Server Subscription Edition, SharePoint Server 2019 та SharePoint Enterprise Server 2016. Попри те, що Microsoft оцінює ймовірність експлуатації як низьку, історія атак на SharePoint робить оперативне оновлення пріоритетним завданням для адміністраторів.
Технічні деталі вразливості
Згідно з бюлетенем Microsoft, вразливість належить до класу десеріалізації недовірених даних (CWE-502) у компоненті Microsoft Office SharePoint. Ключові характеристики:
- Вектор атаки: мережевий — експлуатація можлива віддалено
- Необхідні привілеї: низькі (PR:L) — достатньо прав Site Member, привілеї адміністратора не потрібні
- Взаємодія з користувачем: не потрібна
- Рівень серйозності: Important (за класифікацією Microsoft)
- Оцінка CVSS: 8.8
Суть проблеми в тому, що SharePoint Server некоректно обробляє серіалізовані дані, які надходять з ненадійних джерел. Автентифікований зловмисник із мінімальними правами учасника сайту може надіслати спеціально сформований запит, який призведе до виконання довільного коду на сервері. Це робить вразливість особливо небезпечною в корпоративних середовищах, де доступ рівня Site Member часто надається широкому колу співробітників.
Уражені продукти та доступні оновлення
Оновлення безпеки були випущені 12 травня 2026 року для трьох версій продукту:
- SharePoint Server Subscription Edition — KB5002863
- SharePoint Server 2019 — KB5002870
- SharePoint Enterprise Server 2016 — KB5002868
За даними Microsoft, вразливість виявив і передав дослідник під псевдонімом MEOW.
Оцінка впливу
Десеріалізація недовірених даних — один із найнебезпечніших класів вразливостей у веб-застосунках. У контексті SharePoint Server це означає, що скомпрометований обліковий запис звичайного працівника чи підрядника з базовим доступом до сайту може стати точкою входу для повної компрометації сервера. З огляду на те, що SharePoint часто зберігає конфіденційні корпоративні документи, внутрішні регламенти та дані проєктів, наслідки успішної атаки можуть включати витік даних, горизонтальне переміщення мережею та закріплення в інфраструктурі.
Варто зазначити, що у квітні 2026 року Microsoft вже виправляла вразливість підміни в SharePoint Server (CVE-2026-32201, CVSS 6.5), яка, за повідомленнями, експлуатувалася в реальних атаках. Це підтверджує сталий інтерес зловмисників до платформи SharePoint як до вектора атак.
Microsoft оцінює ймовірність експлуатації CVE-2026-45659 як низьку, і на момент публікації підтверджених випадків використання вразливості в реальних атаках немає. Вразливість також не внесено до каталогу CISA KEV.
Рекомендації
- Установіть оновлення безпеки KB5002863, KB5002870 або KB5002868 залежно від використовуваної версії SharePoint Server. Попри оцінку Microsoft «експлуатація менш імовірна», оцінка CVSS 8.8 і низький поріг входу для зловмисника обґрунтовують пріоритетне оновлення.
- Проведіть аудит облікових записів з правами Site Member і вище. Відкличте надмірні дозволи в неактивних користувачів і зовнішніх підрядників.
- Перевірте журнали SharePoint на наявність аномальних запитів, особливо таких, що містять нетипові серіалізовані об’єкти, від облікових записів із базовими правами.
- Розгляньте сегментацію мережі — обмежте прямий мережевий доступ до серверів SharePoint, використовуючи зворотні проксі та WAF із правилами виявлення атак на десеріалізацію.
Адміністраторам SharePoint Server рекомендується встановити відповідні оновлення в найближче вікно обслуговування, приділивши особливу увагу серверам, доступним із зовнішніх мереж або тим, що надають доступ великій кількості користувачів із правами Site Member. Паралельно варто провести ревізію дозволів — скорочення кількості облікових записів із правами учасника сайту безпосередньо зменшує поверхню атаки для CVE-2026-45659.
