CISA teilte am Mittwoch mit, dass Bedrohungsakteure eine hochriskante Schwachstelle in Microsoft SharePoint Server ausnutzen. Die Lücke wird unter der Kennung CVE-2026-45659 geführt und hat einen CVSS-Wert von 8,8.
Microsoft beschreibt den Fehler als Problem bei der Deserialisierung nicht vertrauenswürdiger Daten. Ein authentifizierter Angreifer kann dadurch auf anfälligen SharePoint-Servern beliebigen Code ausführen. Laut Microsoft reicht dafür die niedrigste Voraussetzung von Berechtigungen als Site Member aus; zusätzliche erhöhte Rechte seien nicht erforderlich.
Der Hersteller stuft die Schwachstelle zudem als leicht ausnutzbar ein. Microsoft begründet das damit, dass ein Angreifer kein erhebliches Vorwissen über das Zielsystem benötige und mit der Nutzlast gegen die verwundbare Komponente wiederholt erfolgreich sein könne.
Geschlossen wurde CVE-2026-45659 Ende Mai mit einem außerplanmäßigen Sicherheitsupdate. Betroffen sind laut Microsoft SharePoint Server Subscription Edition, SharePoint Server 2019, SharePoint Server 2016 und SharePoint Enterprise Server 2016.
CISA hat die Schwachstelle am Mittwoch in ihren KEV-Katalog aufgenommen. Die Behörde drängt Bundesbehörden in den USA dazu, den Patch innerhalb von drei Tagen einzuspielen, wie es die Vorgabe BOD 26-04 verlangt.
Details zu den beobachteten Angriffen hat CISA nicht veröffentlicht. Zugleich gab es vor der Warnung der Behörde keine Berichte über eine Ausnutzung der Schwachstelle unter realen Bedingungen.
Im Hintergrund spielt auch die Verbreitung von SharePoint in Unternehmen eine Rolle. Die Plattform ist zentral für Dokumentenfreigabe, Intranet und Zusammenarbeit, und Angreifer nehmen Sicherheitslücken in SharePoint laut dem Bericht häufig ins Visier.
Es ist nicht der erste aktuelle Fall dieser Art: Im April schloss Microsoft bereits eine SharePoint-Schwachstelle, die als Zero-Day ausgenutzt wurde. Im März warnte CISA zudem vor einer weiteren Lücke in Microsofts Produkt, die ebenfalls gezielt angegriffen wurde.
