Американската Агенция за киберсигурност и инфраструктурна сигурност (CISA) предупреди в сряда, че нападателите са започнали да експлоатират уязвимост с висока степен на сериозност за отдалечено изпълнение на код в Microsoft SharePoint.

Проследявана като CVE-2026-45659, тази слабост в сигурността произтича от десериализация на ненадеждни данни. Тя позволява на нападатели с ниски привилегии да изпълняват произволен код на непачвана версия на SharePoint сървъри чрез атаки с ниска сложност, които не изискват взаимодействие с потребителя.

„Всеки удостоверен нападател може да задейства тази уязвимост. Тя не изисква администраторски или други повишени привилегии. При мрежова атака, удостоверен нападател, който има минимум разрешения на член на сайта (PR:L), може да изпълни код отдалечено на SharePoint сървъра“, обяснява Microsoft.

Векторът на атаката е мрежов (AV:N), тъй като тази уязвимост е отдалечено експлоатируема и може да бъде използвана от интернет. Сложността на атаката е ниска (AC:L), защото за нападателя не се изисква значително предварително познаване на системата и той може да постигне повтаряем успех с полезния товар срещу уязвимия компонент.

Microsoft пусна актуализации за сигурност за SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition, за да отстрани тази уязвимост на 21 май, като заяви, че CVE случайно е бил пропуснат в актуализациите за сигурност от май 2026 г.

Организацията за наблюдение на интернет сигурността Shadowserver в момента проследява над 10 000 SharePoint сървъра, изложени онлайн. Все още обаче няма информация колко от тези устройства вече са защитени срещу текущите атаки CVE-2026-45659.

В сряда CISA добави уязвимостта към своя каталог с известни експлоатирани уязвимости (KEV), като нареди на агенциите на Федералната гражданска изпълнителна власт (FCEB) да защитят своите сървъри до събота, както се изисква от Обвързващата оперативна директива (BOD) 26-04.

От 2021 г. насам CISA е маркирала 11 уязвимости в Microsoft SharePoint, с които е било злоупотребявано в реални условия, като седем от тях са били експлоатирани и при атаки с рансъмуер.