Die Aufnahme von CVE-2026-58644 in den KEV-Katalog unterstreicht, dass es sich nicht nur um eine theoretische Schwachstelle handelt. Microsoft hat die Korrekturen im Rahmen der Patch-Tuesday-Updates vom 14. Juli 2026 veröffentlicht. Später ergänzte der Hersteller sein Sicherheitsbulletin um den Hinweis, dass die Lücke bereits aktiv ausgenutzt wurde.
CVE-2026-58644 betrifft Microsoft SharePoint Server und ist mit einem CVSS-Wert von 9,8 als kritisch eingestuft. Nach Angaben von Microsoft handelt es sich um eine Deserialisierungs-Schwachstelle bei nicht vertrauenswürdigen Daten, die einem nicht autorisierten Angreifer die Ausführung beliebigen Codes ermöglicht. In dem von Microsoft veröffentlichten Hinweis heißt es, dass ein Angreifer in einem netzbasierten Szenario, sofern er mindestens als Site Owner authentifiziert ist, beliebigen Code schreiben, einschleusen und per Remote-Ausführung auf dem SharePoint Server starten kann.
CISA verknüpft die neu gelistete Lücke mit einer breiteren Welle aktiver Angriffe auf SharePoint-Server. Die Behörde warnte vor der aktiven Ausnutzung mehrerer SharePoint-Server-Schwachstellen, darunter CVE-2026-32201, CVE-2026-45659, CVE-2026-56164 und CVE-2026-58644. Diese Schwachstellen könnten es Angreifern ermöglichen, sich unbefugten Zugang zu lokal betriebenen Instanzen zu verschaffen.
Nach Darstellung der Behörde betreffen die Schwachstellen alle unterstützten lokalen SharePoint-Server-Versionen: Subscription Edition, 2019 und 2016. CISA erklärte, die Angriffe umfassten die Herstellung von Remote Code Execution sowie nachgelagerte Aktivitäten nach einer erfolgreichen Kompromittierung. Dazu zählten der Diebstahl von IIS-Maschinenschlüsseln sowie Deserialisierungstechniken, um Persistenz zu erlangen und Schadsoftware zu verteilen.
Die Behörde veröffentlichte außerdem Härtungsmaßnahmen, um die Bedrohung einzudämmen. Welche konkreten Schritte diese Empfehlungen umfassen, wird im Quelltext jedoch nicht ausgeführt.
Ebenfalls am Donnerstag nahm CISA zwei weitere kritische Schwachstellen in Fortinet FortiSandbox in den KEV-Katalog auf: CVE-2026-25089 und CVE-2026-39808. Vorausgegangen waren Berichte über aktive Ausnutzung. Auch hier müssen Bundesbehörden ihre Systeme bis zum 19. Juli 2026 auf die neuesten unterstützten Versionen aktualisieren.
