CISA 警告 Microsoft SharePoint Server RCE 漏洞正在被利用

CISA 警告称,攻击者正在利用 Microsoft SharePoint Server 远程代码执行漏洞(编号为 CVE-2026-45659)。

该机构将该缺陷添加到其已知被利用的漏洞目录2026 年 7 月 1 日,美国联邦民事机构在 2026 年 7 月 4 日之前应用供应商指南并执行所需的分类。

微软的安全咨询将该问题描述为 Microsoft Office SharePoint 中的不受信任数据反序列化漏洞。经过身份验证的攻击者可以通过网络利用它在易受攻击的 SharePoint Server 上执行代码。

CVE-2026-45659 有何影响

CVE-2026-45659 影响本地 SharePoint Server 产品,而不是 SharePoint Online。该风险主要适用于托管和管理自己的 SharePoint 基础结构的组织。

国家漏洞数据库该缺陷列为 CVSS 8.8,严重程度较高。其向量显示网络访问、攻击复杂性低、权限低且无需用户交互。

这种结合使得该漏洞对于暴露的企业环境来说非常严重。攻击者仍然需要有效的访问权限,但他们不需要管理员帐户或受害者交互来尝试利用。

产品受影响的版本固定构建
SharePoint 企业服务器 201616.0.5552.1002 之前的版本16.0.5552.1002
SharePoint 服务器 201916.0.10417.20128 之前的版本16.0.10417.20128
SharePoint Server 订阅版16.0.19725.20280 之前的版本16.0.19725.20280

该漏洞源自对序列化数据的不安全处理。简单来说,服务器可能会以允许授权攻击者触发代码执行的方式处理数据。

SharePoint 服务器通常存储敏感文档、内部工作流程、用户信息和业务记录。许多部署还连接到身份系统、电子邮件、文档库和内部应用程序。

如果攻击者在 SharePoint Server 上获得代码执行权限,他们可能会尝试部署 Web shell、窃取数据、捕获凭据、横向移动或创建持久性以供以后访问。

  • 该缺陷影响本地 SharePoint Server 环境。
  • 攻击者需要身份验证,但只需要低权限。
  • 无需用户交互即可利用。
  • 技术影响可能包括机密性、完整性和可用性损失。
  • CISA 已确认在现实世界的攻击中被积极利用。

CISA 的 KEV 清单要求各机构遵循 Microsoft 的缓解说明、遵守那个 26-04,并在需要时应用法医分类要求。

截止日期很重要,因为 KEV 条目关注的是攻击者已经使用的漏洞。对于防御者来说,这意味着修补应该先于常规的基于严重性的调度。

7月4日的最后期限适用于美国联邦民事机构,但私营公司应将其视为强烈的风险信号。面向 Internet 的 SharePoint 服务器值得立即审查。

时间轴事件
2026年5月Microsoft 发布了 CVE-2026-45659 并发布了安全更新。
2026 年 7 月 1 日CISA将该漏洞添加到KEV目录.
2026 年 7 月 4 日联邦民事机构必须完成所需的补救行动。

微软更新已经可用

组织应首先识别每个 SharePoint Server 实例,并将其内部版本号与固定版本进行比较。微软的SharePoint 更新页面提供 SharePoint Server 订阅版、SharePoint Server 2019 和 SharePoint Server 2016 的更新历史记录。

管理员不应假设内部 SharePoint 服务器是安全的。如果攻击者已经拥有有效的凭据,位于 VPN、反向代理或公司防火墙后面的系统仍然可能面临风险。

微软的CVE 页面应仍然是补丁指南、受影响的产品以及任何后续咨询更改的主要供应商参考。

安全团队现在应该检查哪些内容

安全团队应将 CVE-2026-45659 视为修补问题和妥协评估问题。主动利用意味着某些组织可能已经有可疑活动需要调查。

NVD条目将弱点映射到 CWE-502,即不可信数据的反序列化。使用简单的边界规则很难检测到此类缺陷,因为流量可能看起来来自经过身份验证的用户。

团队应检查 SharePoint 日志、IIS 日志、身份验证事件、端点遥测和来自 SharePoint 服务器的出站网络活动。 Web 服务器进程的异常进程执行应该受到紧急关注。

  • 清点所有 SharePoint Server 2016、2019 和订阅版部署。
  • 确认每台服务器是否具有 2026 年 5 月或更高版本的安全更新级别。
  • 检查 SharePoint 是否暴露于 Internet 或可从不受信任的网络访问。
  • 查看具有 SharePoint 访问权限的低权限帐户的最近登录活动。
  • 在 SharePoint 目录中搜索意外的 Web shell、脚本、计划任务或新文件。
  • 检查 IIS 日志中是否存在异常的经过身份验证的请求和重复的错误模式。
  • 跟随基于风险的补救指导当确定暴露系统的优先级时。

为什么这对企业很重要

SharePoint 仍然是一个有价值的目标,因为它结合了用户访问、文档存储、协作数据和企业信任关系。攻击者经常寻找这些系统,因为一种妥协可以打开多条进入组织的路径。

尽管 CVE-2026-45659 需要身份验证,但该要求并不能消除威胁。被盗的凭据、重复使用的密码、网络钓鱼和受损的低权限帐户可以为攻击者提供他们所需的访问权限。

组织还应检查较旧的 SharePoint 部署是否仍能满足当前的业务和安全需求。接近终止支持或缺少定期更新过程的服务器可能很快成为高价值的攻击面。

当务之急是立即修补受影响的 SharePoint Server 系统。团队还应该在安装后验证更新状态,因为失败或不完整的补丁可能会使服务器暴露在外。

微软的更新历史记录可以帮助管理员确认跨受支持的 SharePoint Server 版本的固定版本。

修补后,组织应针对利用迹象进行集中调查。这很重要,因为修复漏洞并不会自动删除已经获得访问权限的攻击者。

行动目的
应用 SharePoint 安全更新从受影响的系统中删除易受攻击的代码路径。
验证固定版本号确认每台服务器的修补均已成功。
查看 SharePoint 和 IIS 日志寻找利用尝试或利用后活动。
检查 Web shell 和可疑文件查找攻击者可能植入的持久性机制。
限制外部暴露减少攻击者可用于访问 SharePoint 的路径数量。
如果怀疑遭到泄露,请重置受影响的凭据降低后续帐户滥用的风险。

FAQ

什么是 CVE-2026-45659?

CVE-2026-45659 是由不可信数据反序列化导致的 Microsoft SharePoint Server 远程执行代码漏洞。经过身份验证的攻击者可以通过网络利用它在易受攻击的服务器上执行代码。

CVE-2026-45659 是否正在被积极利用?

是的。 CISA 于 2026 年 7 月 1 日将 CVE-2026-45659 添加到其已知被利用的漏洞目录中,引用了活跃利用的证据。

哪些 SharePoint 版本受 CVE-2026-45659 影响?

受影响的产品包括 SharePoint Enterprise Server 2016、SharePoint Server 2019 和 SharePoint Server 订阅版。管理员应该将已安装的版本与微软的固定版本进行比较。

CVE-2026-45659 是否影响 SharePoint Online?

该漏洞适用于本地 Microsoft SharePoint Server 产品。可用的建议主要针对 SharePoint Server,而不是 SharePoint Online。

组织应该如何处理 CVE-2026-45659?

组织应修补受影响的 SharePoint Server 部署、验证修复的内部版本号、查看 SharePoint 和 IIS 日志、检查 Web shell 或异常进程活动,并减少不必要的 Internet 暴露。