Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило в свой каталог известных эксплуатируемых уязвимостей (KEV) новую запись - CVE-2026-45659. Речь идёт об уязвимости в Microsoft SharePoint, которая уже используется злоумышленниками в реальных атаках. Производитель выпустил патчи, закрывающие брешь, однако организации, не установившие их, остаются под угрозой.
Уязвимость CVE-2026-45659
Уязвимость CVE-2026-45659 имеет высокий уровень опасности - 8,8 балла по шкале CVSS 3.1. Она относится к классу CWE-502 (десериализация недоверенных данных). В описании Microsoft указано, что проблема затрагивает процедуру десериализации в Office SharePoint: авторизованный злоумышленник может отправить специально сформированный запрос и добиться выполнения произвольного кода на сервере. При этом для атаки не требуется взаимодействия с пользователем, а сложность реализации оценивается как низкая.
Уязвимость присутствует в трёх линейках продукта: Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Server 2019 и Microsoft SharePoint Server Subscription Edition. Все они работают на платформе x64. Уязвимыми считаются версии до 16.0.5552.1002 для 2016-го выпуска, до 16.0.10417.20128 для 2019-го и до 16.0.19725.20280 для Subscription Edition. Исправления включены в соответствующие обновления, выпущенные Microsoft ещё в мае 2026 года. Однако, несмотря на наличие патча, CISA получила данные о том, что атакующие активно используют эту брешь. Именно поэтому агентство внесло CVE-2026-45659 в свой каталог KEV, что является сигналом для всех государственных и частных организаций - требуется незамедлительно применить обновления.
Характер эксплуатации не раскрывается: ни Microsoft, ни CISA не публиковали детали о том, как именно злоумышленники используют уязвимость. Однако судя по вектору атаки - сетевой доступ, низкая сложность, привилегии авторизованного пользователя, - речь идёт о сценарии, при котором внутренний нарушитель или сотрудник, чьи учётные данные были скомпрометированы, может получить полный контроль над сервером SharePoint. Десериализация недоверенных данных - известная техника: при обработке вредоносного сериализованного объекта сервер непреднамеренно инициирует код, заложенный злоумышленником. В случае Microsoft SharePoint атака не требует от жертвы каких-либо действий (UI:N), а значит может быть автоматизирована.
Попадание уязвимости в KEV означает, что CISA считает её реально используемой киберпреступниками или государственными хакерами. Федеральные гражданские агентства США обязаны установить патчи в течение установленного срока - обычно три недели. Для остальных организаций рекомендация носит настоятельный характер: если сервер SharePoint доступен из корпоративной сети, откладывать исправление рискованно.
Меры защиты, помимо установки обновлений, включают ограничение доступа к интерфейсам управления SharePoint, многофакторную аутентификацию для всех пользователей с правом на публикацию и администрирование, а также регулярную проверку журналов на предмет подозрительных запросов, связанных с десериализацией. Microsoft, как обычно, выпустила патчи в рамках планового цикла обновлений, и все строки с актуальными версиями приведены в бюллетене безопасности.
Ситуация с CVE-2026-45659 ещё раз подтверждает тенденцию: уязвимости в корпоративных платформах совместной работы становятся приоритетной целью злоумышленников. SharePoint, будучи популярным решением для документооборота и внутренних порталов, привлекает внимание атакующих, стремящихся закрепиться в инфраструктуре организации или похитить конфиденциальные данные. Промедление с установкой патчей при наличии подтверждённой активной эксплуатации превращает потенциальную угрозу в реальный инцидент с серьёзными последствиями.
Ссылки
- https://www.cisa.gov/news-events/alerts/2026/07/01/cisa-adds-one-known-exploited-vulnerability-catalog
- https://www.cve.org/CVERecord?id=CVE-2026-45659
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45659