Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило новую уязвимость в Microsoft SharePoint в свой каталог известных эксплуатируемых уязвимостей (KEV). Речь идет об уязвимости CVE-2026-58644, которая позволяет злоумышленнику удаленно выполнить код на сервере без предварительной аутентификации. Включение в каталог означает, что CISA получила доказательства активного использования этой уязвимости в реальных атаках.
Уязвимость CVE-2026-58644
Уязвимость связана с некорректной десериализацией недоверенных данных в Microsoft Office SharePoint. По классификации CVSS v3.1 она получила максимальный балл 9,8. Это позволяет неавторизованному атакующему отправлять специально сформированные сетевые запросы на уязвимый сервер и выполнять произвольный код в его контексте. Для эксплуатации не требуются ни аутентификация, ни какое-либо взаимодействие с пользователем - достаточно базового сетевого доступа к серверу.
Под удар попали три редакции продукта: Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Server 2019 и Microsoft SharePoint Server Subscription Edition. Для каждой версии указаны конкретные диапазоны сборок, подверженных уязвимости. Например, для SharePoint Enterprise Server 2016 уязвимыми считаются версии с 16.0.0 до 16.0.5556.1005, для SharePoint Server 2019 - с 16.0.0 до 16.0.10417.20153, а для Subscription Edition - с 16.0.0 до 16.0.19725.20384. Все уязвимые сборки работают на платформах с 64-разрядной архитектурой.
Потенциальные последствия эксплуатации этой уязвимости критичны для корпоративных клиентов, использующих SharePoint в качестве платформы для документооборота, внутренних порталов и совместной работы. В случае успешной атаки злоумышленник смог бы получить полный контроль над сервером, включая возможность чтения, изменения и удаления данных, установку вредоносного программного обеспечения, а также боковое перемещение внутри корпоративной сети. Учитывая, что SharePoint часто имеет доступ к базам данных Active Directory и другим критическим системам, компрометация одного сервера может привести к масштабной утечке корпоративных данных.
Microsoft уже выпустила обновления, устраняющие уязвимость, для всех трех затронутых редакций SharePoint. Организациям, использующим эти продукты, настоятельно рекомендуется как можно скорее установить исправления. В качестве временной меры защиты можно ограничить сетевой доступ к серверам SharePoint до доверенных IP-адресов и сегментов, а также усилить мониторинг входящих запросов на предмет подозрительной активности. Однако полноценная установка патча остается единственным гарантированным способом закрыть уязвимость.
Ситуация с CVE-2026-58644 вписывается в общий тренд: уязвимости класса десериализации недоверенных данных остаются одними из самых опасных и часто используемых в атаках на корпоративное ПО. Разработчикам Microsoft и других крупных вендоров необходимо уделять повышенное внимание проверке входящих данных в компонентах, работающих с сетевыми запросами. Для администраторов же это очередное напоминание о критической важности своевременного управления исправлениями в средах, где используются платформы для совместной работы с широким сетевым доступом.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-58644
- https://www.cisa.gov/news-events/alerts/2026/07/16/cisa-adds-three-known-exploited-vulnerabilities-catalog