Microsoft hat CVE-2026-58644 im Rahmen des Patch Tuesday für Juli 2026 behoben. Nach Angaben des Unternehmens erlaubt die Schwachstelle in einem netzbasierten Angriff, dass ein bereits authentifizierter Angreifer mit mindestens Site-Owner-Rechten beliebigen Code schreibt, einschleust und auf dem SharePoint-Server aus der Ferne ausführt. Technisch beschreibt Microsoft den Fehler als Problem bei der Deserialisierung nicht vertrauenswürdiger Daten.

Brisant ist vor allem das Tempo nach der Offenlegung. Zwar war CVE-2026-58644 anfangs nicht als bereits ausgenutzt markiert, Microsoft ergänzte seinen Sicherheitshinweis jedoch später um den Vermerk, dass Ausnutzung festgestellt wurde. Zugleich passte das Unternehmen den CVSS-Wert der Schwachstelle an.

CISA reagierte am Donnerstag und nahm die Lücke zwei Tage nach einer ersten Warnung zu den SharePoint-Sicherheitsproblemen in den KEV-Katalog auf. Die Behörde fordert Bundesbehörden auf, den Fehler innerhalb von drei Tagen zu schließen, wie es BOD 26-04 vorschreibt.

Mit den Juli-Updates hat Microsoft zudem weitere SharePoint-Schwachstellen behoben. Dazu gehört CVE-2026-56164, die als Zero-Day gekennzeichnet wurde und laut Microsoft bereits in freier Wildbahn ausgenutzt wurde. Ebenfalls gefixt wurde CVE-2026-55040, eine kritische Sicherheitsumgehung, über die Angreifer Dateien offenlegen und Daten verändern könnten.

Parallel ergänzte CISA auch zwei Schwachstellen in Fortinet FortiSandbox um den KEV-Katalog: CVE-2026-25089 und CVE-2026-39808. Dabei handelt es sich um zwei OS-Command-Injection-Lücken, die Fortinet bereits im Juni beziehungsweise April gepatcht hatte.

Beide FortiSandbox-Fehler ermöglichen laut dem vorliegenden Bericht die Ausführung beliebigen Codes oder von Befehlen auf verwundbaren Appliances. Das Unternehmen Defused, das sich auf Exploit-Intelligence spezialisiert, hatte beide Schwachstellen bereits Mitte Juni als aktiv ausgenutzt gemeldet.

Gemäß den Empfehlungen von BOD 26-04 müssen US-Bundesbehörden alle drei nun als ausgenutzt gelisteten Schwachstellen innerhalb von drei Tagen patchen.