CVE-2026-45659 beruht auf der Deserialisierung nicht vertrauenswürdiger Daten in Microsoft Office SharePoint. Ein authentifizierter Angreifer kann SharePoint dazu bringen, manipulierte Daten so zu verarbeiten, dass sich Code aus der Ferne auf dem Server ausführen und dieser möglicherweise vollständig übernehmen lässt.
„Bei einem netzwerkbasierten Angriff könnte ein authentifizierter Angreifer mit mindestens den Berechtigungen eines Websitemitglieds aus der Ferne Code auf dem SharePoint-Server ausführen", erklärte Microsoft. Die Angriffskomplexität sei gering, weil ein Angreifer kein nennenswertes Vorwissen über das System benötige und mit der Schadlast wiederholt zuverlässig Erfolg gegen die verwundbare Komponente erzielen könne. Ein erfolgreicher Angriff könne erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben. Bemerkenswert ist, dass Microsoft die Lücke trotz geringer Komplexität, fehlender Nutzerinteraktion und minimaler Rechte als eher unwahrscheinlich auszunutzen einordnet.
Die Schwachstelle reiht sich in anhaltende Bedenken zur Sicherheitslage von SharePoint ein, insbesondere bei lokal betriebenen Installationen. Als zentrale Plattform für Zusammenarbeit, Dokumentenverwaltung und Arbeitsabläufe bleibt SharePoint ein attraktives Ziel für Cyberkriminelle wie für staatlich gesteuerte Akteure. In solchen Umgebungen liegen häufig große Mengen sensibler interner Dokumente, Projektdaten, Personalakten und geistiges Eigentum – ein erfolgreicher Einbruch ist damit sowohl für Datendiebstahl als auch für finanzielle Erpressung unmittelbar wertvoll. Da viele Organisationen SharePoint mit weiteren Microsoft-Diensten wie Active Directory, Teams und Outlook verknüpfen, kann ein Einbruch zudem als Ausgangspunkt für seitliche Bewegungen im Unternehmensnetz dienen.
China-nahe Gruppen wie Linen Typhoon und Violet Typhoon nutzten SharePoint-Schwachstellen, um geistiges Eigentum zu entwenden, während Ransomware-Akteure wie Storm-2603 dieselben Lücken für Erpressungskampagnen einsetzten. Im Juli 2025 legte Microsoft eine Zero-Day-Schwachstellenkette mit dem Namen ToolShell offen, die mehrere Angreifergruppen bei Attacken gegen lokale SharePoint-Installationen in Behörden, Universitäten, Unternehmen und der US-Atomwaffenbehörde verwendeten.
Lokale SharePoint-Umgebungen gelten unter Sicherheitsanalysten als besonders attraktives Ziel, weil viele Organisationen Mühe haben, diese Systeme vollständig zu patchen, korrekt zu konfigurieren und durchgängig zu überwachen. Häufig laufen mit dem Internet verbundene Server mit veralteter Software, alten Integrationen, übermäßigen Berechtigungen und weiteren Sicherheitslücken, die Angreifer leicht ausnutzen können.
