Microsoft - CVE-2026-45659
Date de publication :
Il s'agit d'une vulnérabilité dans le mécanisme de désérialisation de données de Microsoft SharePoint Server.
Lors du traitement de données non fiables soumises via le réseau, SharePoint ne valide pas correctement les objets désérialisés. Un attaquant authentifié avec des droits de membre de site (niveau de privilège faible) peut soumettre une charge utile forgée qui est désérialisée sans contrôle suffisant par le serveur. L'attaque est réalisable à distance sur Internet, sans interaction de l'utilisateur cible, et ne requiert aucune connaissance préalable particulière du système.
Elle permet une exécution de code arbitraire à distance dans le contexte du serveur SharePoint.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-502 : Deserialization of Untrusted Data
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Microsoft SharePoint Server Subscription Edition, versions antérieures au build 16.0.19725.20280
• Microsoft SharePoint Server 2019, versions antérieures au build 16.0.10417.20128
• Microsoft SharePoint Enterprise Server 2016, versions antérieures au build 16.0.5552.1002
Solutions ou recommandations
• Microsoft SharePoint Server 2019 : mise à jour de sécurité KB5002870 (build 16.0.10417.20128 et supérieures)
• Microsoft SharePoint Enterprise Server 2016 : mise à jour de sécurité KB5002868 (build 16.0.5552.1002 et supérieures)