Корпорация Microsoft выпустила внеочередное обновление безопасности для платформы SharePoint Server. Причина - обнаружение уязвимости CVE-2026-47294 (идентификатор по стандарту Common Vulnerabilities and Exposures), которая позволяет авторизованному злоумышленнику удаленно выполнить произвольный код на целевом сервере. Проблема затронула три основные версии продукта: SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Согласно бюллетеню, опубликованному 29 мая 2026 года, уязвимости присвоен уровень опасности "важный" с оценкой 8,0 балла по шкале CVSS.
Уязвимость CVE-2026-47294
SharePoint - одна из самых распространенных платформ для корпоративного документооборота, совместной работы и хранения данных. Во многих организациях он используется как внутренний портал с доступом к конфиденциальной информации. Уязвимость, позволяющая выполнить код удаленно, ставит под угрозу целостность IT-инфраструктуры - причем не только самих серверов, но и подключенных к ним систем.
Теперь о технической стороне. Причина проблемы - ошибка десериализации недоверенных данных. Десериализация - это процесс восстановления объекта из его байтового представления, например, при загрузке конфигурации или передаче файла между сервером и клиентом. Если данные не проверяются должным образом, атакующий может подменить их так, что при обработке сервер выполнит вредоносный код. В случае CVE-2026-47294 этот код может содержать команды операционной системы. Уязвимость классифицирована по типу CWE-78 (некорректная нейтрализация специальных элементов в командах ОС, или внедрение команд).
Важный нюанс: для эксплуатации злоумышленнику требуется авторизованный доступ к SharePoint, хотя бы с низким уровнем привилегий. Кроме того, необходимо взаимодействие жертвы - например, пользователь должен открыть специально сформированный файл или перейти по ссылке внутри SharePoint. Вектор атаки - сетевой, сложность низкая, а последствия максимально серьезные: компрометация конфиденциальности, целостности и доступности сервера на высоком уровне. Код эксплуатации пока не опубликован, и случаев реального использования в дикой природе не зафиксировано. Однако рейтинг "подтверждено" и "официальное исправление доступно" - сигнал, что не стоит затягивать с обновлением.
Если атакующему удастся провести успешную атаку, он сможет не только выполнить любые команды от имени сервера, но и получить полный контроль над ним. Типичный сценарий: установка программ-шпионов, кража баз данных, использование сервера как точки входа в корпоративную сеть. Поскольку SharePoint часто интегрирован с Active Directory, результатом может стать эскалация привилегий и доступ к другим критичным ресурсам.
Microsoft уже выпустила исправления для всех затронутых версий. Они доступны через Windows Update, а также в каталоге Microsoft Update Catalog. Администраторам настоятельно рекомендуется установить обновления в кратчайшие сроки. Список конкретных версий с указанием номера сборки, с которой устранена уязвимость, приведен в бюллетене безопасности (ссылка на портал MSRC). Владельцам серверов, которые по каким-либо причинам не могут установить патч немедленно, стоит временно ограничить доступ к SharePoint только для доверенных пользователей, усилить мониторинг событий на предмет подозрительной активности, а также отключить ненужные функции, связанные с обработкой пользовательских файлов.
В целом, данная уязвимость - очередное напоминание о том, как важна своевременная установка обновлений безопасности даже для продуктов, которые считаются зрелыми и стабильными. SharePoint Server остается популярной платформой, а значит - привлекательной мишенью. Не стоит откладывать установку патча на потом: злоумышленники уже начали анализировать детали CVE-2026-47294, и, хотя пока эксплойты не появились, их разработка - лишь вопрос времени.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-47294
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47294
