Microsoft закрыла RCE-уязвимость в SharePoint Server (CVE-2026-45659)

Microsoft выпустила исправления для критической уязвимости десериализации в SharePoint Server, позволяющей аутентифицированному злоумышленнику выполнить произвольный код по сети. Брешь получила оценку CVSS 8.8 и затрагивает Subscription Edition, 2019 и Enterprise Server 2016. Эксплуатация не требует прав администратора — достаточно роли Site Member.

Microsoft выпустила обновления, устраняющие уязвимость удалённого выполнения кода в SharePoint Server. Проблема затрагивает SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016; соответствующий бюллетень MSRC был опубликован 21 мая 2026 года в рамках майского Patch Tuesday.

Уязвимости присвоен идентификатор CVE-2026-45659. Она получила оценку CVSS 8.8 и категорию важности «important». Корневая причина относится к классу CWE-502 — десериализация недоверенных данных, при которой контролируемые атакующим сериализованные объекты обрабатываются сервером без должной валидации, что приводит к выполнению постороннего кода.

Microsoft отмечает, что уязвимость может быть инициирована любым аутентифицированным атакующим и не требует административных или иных повышенных привилегий: для сетевой атаки достаточно как минимум прав Site Member (PR:L), чтобы удалённо выполнить код на SharePoint Server. Взаимодействия пользователя при этом не требуется.

О находке Microsoft сообщил исследователь под псевдонимом MEOW. Хотя компания оценивает вероятность эксплуатации как невысокую, она настаивает на установке исправлений, учитывая, что уязвимости в SharePoint неоднократно использовались злоумышленниками. Месяцем ранее, в апреле 2026 года, Microsoft уже выпускала патч для спуфинг-уязвимости в SharePoint Server (CVE-2026-32201, CVSS 6.5), которая, по данным компании, эксплуатировалась в реальных атаках.