📰 Contexte
Source : SOCRadar, publié le 2 juillet 2026. La CISA a officiellement ajouté CVE-2026-45659 à son catalogue Known Exploited Vulnerabilities (KEV) le 1er juillet 2026, avec une date limite de remédiation fixée au 4 juillet 2026.
🔍 Description de la vulnérabilité
CVE-2026-45659 (CVSS 8.8) affecte Microsoft SharePoint Server on-premises (non SharePoint Online). Elle est causée par une désérialisation de données non fiables (CWE-502), permettant l’exécution de code arbitraire à distance (RCE).
Caractéristiques clés :
- Vecteur d’attaque : Réseau
- Complexité : Faible
- Privilèges requis : Faibles (niveau “Site Member” suffisant)
- Interaction utilisateur : Aucune
- Impact : Élevé sur la confidentialité, l’intégrité et la disponibilité
📦 Versions affectées
- SharePoint Enterprise Server 2016 : < 16.0.5552.1002
- SharePoint Server 2019 : < 16.0.10417.20128
- SharePoint Server Subscription Edition : < 16.0.19725.20280
🗓️ Chronologie
- Mai 2026 : Correctifs inclus dans les mises à jour de sécurité Microsoft de mai 2026
- ~21-22 mai 2026 : Publication du CVE avec vecteur CVSS
- 26-27 mai 2026 : Microsoft clarifie que le CVE avait été omis par inadvertance de la liste initiale des mises à jour
- 17 juin 2026 : Mise à jour des plages de versions affectées
- 1er juillet 2026 : Ajout au KEV par la CISA — exploitation active confirmée
⚠️ Éléments non confirmés publiquement
- Le composant ou endpoint SharePoint spécifiquement ciblé
- La chaîne de gadgets ou la mécanique de livraison du payload
- Les indicateurs détaillés liés à l’exploitation in-the-wild
- Lien avec des opérateurs de ransomware (marqué “Unknown” dans le KEV)
📌 Type d’article
Article d’alerte de sécurité et d’analyse technique destiné aux équipes de sécurité et gestionnaires de vulnérabilités, visant à informer sur l’ajout au KEV et à détailler le profil de risque de la vulnérabilité.
🧠 TTPs et IOCs détectés
TTP
- T1210 — Exploitation of Remote Services (Lateral Movement)
- T1190 — Exploit Public-Facing Application (Initial Access)
IOC
🟡 Indice de vérification factuelle : 39/100 (moyenne)
- ⬜ socradar.io — source non référencée (0pts)
- ✅ 8294 chars — texte complet (fulltext extrait) (15pts)
- ✅ 1 IOC(s) (6pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 2 TTP(s) MITRE (8pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/1 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://socradar.io/blog/cisa-sharepoint-rce-cve-2026-45659/