📰 Contexte

Source : SOCRadar, publié le 2 juillet 2026. La CISA a officiellement ajouté CVE-2026-45659 à son catalogue Known Exploited Vulnerabilities (KEV) le 1er juillet 2026, avec une date limite de remédiation fixée au 4 juillet 2026.

🔍 Description de la vulnérabilité

CVE-2026-45659 (CVSS 8.8) affecte Microsoft SharePoint Server on-premises (non SharePoint Online). Elle est causée par une désérialisation de données non fiables (CWE-502), permettant l’exécution de code arbitraire à distance (RCE).

Caractéristiques clés :

  • Vecteur d’attaque : Réseau
  • Complexité : Faible
  • Privilèges requis : Faibles (niveau “Site Member” suffisant)
  • Interaction utilisateur : Aucune
  • Impact : Élevé sur la confidentialité, l’intégrité et la disponibilité

📦 Versions affectées

  • SharePoint Enterprise Server 2016 : < 16.0.5552.1002
  • SharePoint Server 2019 : < 16.0.10417.20128
  • SharePoint Server Subscription Edition : < 16.0.19725.20280

🗓️ Chronologie

  • Mai 2026 : Correctifs inclus dans les mises à jour de sécurité Microsoft de mai 2026
  • ~21-22 mai 2026 : Publication du CVE avec vecteur CVSS
  • 26-27 mai 2026 : Microsoft clarifie que le CVE avait été omis par inadvertance de la liste initiale des mises à jour
  • 17 juin 2026 : Mise à jour des plages de versions affectées
  • 1er juillet 2026 : Ajout au KEV par la CISA — exploitation active confirmée

⚠️ Éléments non confirmés publiquement

  • Le composant ou endpoint SharePoint spécifiquement ciblé
  • La chaîne de gadgets ou la mécanique de livraison du payload
  • Les indicateurs détaillés liés à l’exploitation in-the-wild
  • Lien avec des opérateurs de ransomware (marqué “Unknown” dans le KEV)

📌 Type d’article

Article d’alerte de sécurité et d’analyse technique destiné aux équipes de sécurité et gestionnaires de vulnérabilités, visant à informer sur l’ajout au KEV et à détailler le profil de risque de la vulnérabilité.

🧠 TTPs et IOCs détectés

TTP

  • T1210 — Exploitation of Remote Services (Lateral Movement)
  • T1190 — Exploit Public-Facing Application (Initial Access)

IOC

  • CVEs : CVE-2026-45659NVD · CIRCL

🟡 Indice de vérification factuelle : 39/100 (moyenne)

  • ⬜ socradar.io — source non référencée (0pts)
  • ✅ 8294 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://socradar.io/blog/cisa-sharepoint-rce-cve-2026-45659/