Microsoft hat Updates für SharePoint Server veröffentlicht, die eine als hochriskant eingestufte Schwachstelle beheben, während parallel eine kritische Lücke in 7-Zip bekannt wurde, die Angreifern das Einschleusen von Schadcode ermöglicht.
Die von Microsoft behobene Sicherheitslücke wird unter der Kennung CVE-2026-45659 geführt und weist einen CVSS-Score von 8,8 auf. Sie erlaubt es authentifizierten Angreifern, über das Netzwerk Schadcode einzuschleusen und auszuführen.
Ursache der Schwachstelle ist eine unsichere Deserialisierung von nicht vertrauenswürdigen Daten. Für eine erfolgreiche Ausnutzung sind keine erhöhten Benutzerrechte erforderlich, und der Angriff ist aus dem Internet heraus möglich.
Microsoft selbst stuft die Angriffskomplexität als gering ein, da Angreifer keine detaillierten Vorkenntnisse über die verwundbaren Systeme benötigen. Gleichzeitig schätzt das Unternehmen die Wahrscheinlichkeit einer tatsächlichen Ausnutzung als eher gering ein.
Nach Angaben von Microsoft wurde die Schwachstelle zum Zeitpunkt der Offenlegung noch nicht in freier Wildbahn angegriffen. Der CVE-Eintrag wurde in der Nacht zum Mittwoch veröffentlicht, stellt jedoch keine Notfall-Aktualisierung dar.
Tatsächlich handelte es sich um einen zunächst vergessenen CVE-Eintrag: Der eigentliche Fix war bereits im Rahmen des Mai Patch Tuesday ausgeliefert worden. Die Updates stehen für SharePoint Server 2016, SharePoint Enterprise Server 2016, SharePoint Server 2019 sowie die SharePoint Subscription Edition zur Verfügung.