CVE-2026-45659 est une faille RCE CVSS 8.8 dans Microsoft SharePoint Server, ajoutee au KEV CISA apres confirmation d'exploitation active. Le patch Microsoft de mai 2026 doit etre applique immediatement.
En bref
- CVE-2026-45659 : execution de code a distance (RCE) via deserialisation dans Microsoft SharePoint Server, CVSS 8.8 (High)
- Systemes affectes : SharePoint Server Subscription Edition, SharePoint Server 2019, SharePoint Enterprise Server 2016
- Action urgente : appliquer immediatement le patch Microsoft de mai 2026 — exploitation active confirmee par la CISA KEV, deadline federale americaine au 4 juillet 2026
Les faits
Le 1er juillet 2026, la CISA (Cybersecurity and Infrastructure Security Agency) americaine a ajoute CVE-2026-45659 a son catalogue des vulnerabilites exploitees activement (Known Exploited Vulnerabilities, KEV). Cette decision contraste avec l'evaluation initiale de Microsoft lors du Patch Tuesday de mai 2026, qui qualifiait l'exploitation de "Less Likely" (moins probable). La realite du terrain a rapidement contredit cette appreciation, obligeant les agences federales americaines (FCEB) a appliquer le correctif avant le 4 juillet 2026 sous peine de non-conformite reglementaire.
CVE-2026-45659 est une vulnerabilite d'execution de code a distance resultant de la deserialisation de donnees non fiables (CWE-502 : Deserialization of Untrusted Data). Le score CVSS v3.1 est de 8.8, avec un vecteur reseau (AV:N), une complexite d'attaque faible (AC:L), des privileges limites requis (PR:L), aucune interaction utilisateur necessaire (UI:N), et un impact total sur la confidentialite, l'integrite et la disponibilite (C:H/I:H/A:H). Le score EPSS a progresse significativement depuis la confirmation d'exploitation active, temoignant de la probabilite elevee d'exploitation dans les environnements non patches.
Trois versions de Microsoft SharePoint Server sont affectees : SharePoint Server Subscription Edition (toutes versions avant le patch de mai 2026), SharePoint Server 2019 et SharePoint Enterprise Server 2016. SharePoint Online (Microsoft 365) n'est pas affecte car Microsoft gere directement les mises a jour de son infrastructure cloud. Les organisations ayant migre vers SharePoint Online ne sont donc pas exposees a cette faille specifique.
Sur le plan technique, la vulnerabilite reside dans le composant de deserialisation des donnees de SharePoint Server. Un attaquant authentifie disposant au minimum des droits de "Site Member" — le niveau le plus bas d'appartenance a un site SharePoint, accorde par defaut a de nombreux utilisateurs dans les environnements d'entreprise — peut envoyer une requete reseau specifiquement forgee qui declenche la deserialisation d'un objet .NET malveillant cote serveur. Cette technique exploite des gadgets de deserialisation bien documentes dans l'ecosysteme .NET, permettant de chainer des appels d'objets serialises pour aboutir a l'execution arbitraire de code dans le contexte du processus SharePoint (w3wp.exe), qui tourne generalement avec des privileges eleves sur le serveur Windows.
Microsoft a lui-meme reconnu dans l'advisory que la faille est facile a exploiter car un attaquant n'a pas besoin d'une connaissance prealable significative du systeme et peut obtenir un succes reproductible avec son payload contre le composant vulnerable. Cette caracteristique — facilite d'exploitation et reproductibilite — explique pourquoi des acteurs malveillants ont rapidement transforme cette vulnerabilite en outil d'attaque operationnel, malgre l'evaluation initiale rassurante de Microsoft. La reproductibilite implique qu'un exploit automatise peut cibler des milliers d'instances SharePoint de maniere industrielle.
La chronologie de la decouverte suit le schema classique d'acceleration post-patch : Microsoft a corrige la faille en mai 2026 dans le cadre de son Patch Tuesday mensuel. Des chercheurs en securite ont analyse le differentiel entre la version patchee et la version vulnerable (technique de patch diffing), reconstituant la nature precise de la faille. Des preuves de concept (PoC) ont ensuite circule dans les cercles de recherche offensive, avant qu'une exploitation reelle soit detectee dans la nature, forcant la CISA a agir le 1er juillet 2026. Selon The Register, ce cas illustre parfaitement le decalage possible entre l'evaluation academique du risque et la realite de l'exploitation en conditions reelles.
L'exploitation dans un scenario realiste necessite qu'un attaquant dispose d'un compte valide sur le SharePoint cible — ce qui correspond a un attaquant interne, un compte compromis via phishing, ou un acces obtenu par credential stuffing. Une fois ce premier niveau d'authentification obtenu, l'exploitation est triviale. La charge utile peut aboutir a l'installation d'un webshell sur le serveur SharePoint, au deploiement d'un ransomware sur le serveur et les partages reseau accessibles, a l'exfiltration de donnees confidentielles stockees dans les bibliotheques SharePoint, ou a un pivot vers d'autres systemes internes via le reseau de l'entreprise.
D'apres BleepingComputer et SecurityWeek, l'exploitation active de CVE-2026-45659 a ete confirmee par plusieurs sources independantes avant l'ajout au KEV CISA. Les indicateurs de compromission (IoC) observes incluent des requetes HTTP anormales vers les endpoints de traitement des donnees SharePoint et des processus enfants inhabituels lances par le service IIS : w3wp.exe lancant cmd.exe, powershell.exe ou certutil.exe. La CISA recommande aux organisations de prioriser cette faille meme en l'absence d'exposition directe a Internet, car de nombreuses intrusions commencent par un acces authentifie interne ou un compte compromis.
Impact et exposition
SharePoint Server est deploye dans des dizaines de milliers d'organisations dans le monde, principalement dans les grandes entreprises, les administrations publiques et les etablissements de sante ou d'enseignement. En France, de nombreuses collectivites territoriales, ministeres et entreprises du CAC 40 utilisent SharePoint Server on-premise pour la gestion documentaire, leur intranet collaboratif et leurs workflows metier. L'exposition est particulierement large dans les secteurs fortement reglementes — finance, sante, defense — qui ont tarde a migrer vers SharePoint Online pour des raisons de souverainete des donnees ou de contraintes reglementaires.
La condition d'exploitation — un compte authentifie avec au minimum les droits "Site Member" — represente une barriere faible dans les environnements ou SharePoint est utilise comme portail collaboratif ouvert a l'ensemble du personnel, voire a des partenaires externes. Dans ces contextes, la surface d'attaque est considerable : tout utilisateur legitime (ou tout compte compromis) peut declencher l'exploitation depuis le reseau interne, sans necessiter d'elevation de privileges prealable. Un attaquant ayant obtenu un seul compte Active Directory valide peut potentiellement compromettre le serveur SharePoint entier.
L'exploitation active confirmee par la CISA signifie que des groupes de menace ont integre CVE-2026-45659 dans leurs arsenaux operationnels. Les operateurs de ransomware, connus pour cibler SharePoint comme vecteur d'acces initial et source de donnees exfiltrables, sont particulierement susceptibles d'avoir adopte cet exploit. La nature reproductible de l'exploitation le rend attractif pour les groupes pratiquant la double extorsion : exfiltration des donnees SharePoint puis chiffrement du serveur pour maximiser la pression sur la victime.
Recommandations immediates
- Appliquer immediatement le patch Microsoft de mai 2026 : KB5002663 (SharePoint Server Subscription Edition), KB5002662 (SharePoint Server 2019), KB5002664 (SharePoint Enterprise Server 2016)
- Verifier les journaux IIS et les Event Logs Windows pour des signes d'exploitation anterieure : processus w3wp.exe lancant des enfants inhabituels (cmd.exe, powershell.exe, certutil.exe)
- Activer l'authentification multi-facteurs (MFA) pour tous les comptes SharePoint, en particulier les comptes d'administration et de service
- Si le patch ne peut etre applique immediatement : restreindre l'acces reseau a SharePoint Server via pare-feu ou WAF et isoler le serveur du reste du reseau
- Scanner les repertoires d'application SharePoint (layouts, _vti_bin, inetpub) pour detecter d'eventuels webshells (fichiers .aspx ou .ashx recemment crees et non attendus)
⚠ Urgence critique — exploitation active confirmee
CVE-2026-45659 est exploitee activement dans la nature. La CISA a impose une deadline au 4 juillet 2026 pour les agences federales americaines. Pour toute organisation utilisant SharePoint Server on-premise, l'application du patch doit etre traitee comme une urgence absolue — ne pas attendre la prochaine fenetre de maintenance planifiee.
Comment savoir si je suis vulnerable ?
Verifiez la version de votre SharePoint Server via Central Administration > Upgrade and Migration > Check product and patch installation status. Si la version de build est anterieure au patch de mai 2026 (build 16.0.17328.20 pour SharePoint Subscription Edition, 16.0.10407.20002 pour SharePoint 2019, 16.0.5456.1000 pour SharePoint 2016), votre systeme est vulnerable. Vous pouvez egalement executer la commande PowerShell sur le serveur SharePoint : (Get-SPFarm).BuildVersion et comparer avec les numeros de build attendus apres le patch de mai 2026.
Votre infrastructure SharePoint est-elle exposee ?
Ayi NEDJIMI realise des audits cibles pour identifier et corriger vos vulnerabilites SharePoint et Microsoft 365.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-50548 DuneSlide : RCE zero-click dans Cursor AI IDE
DuneSlide (CVE-2026-50548 et CVE-2026-50549) : deux failles CVSS 9.8 zero-click dans Cursor AI IDE permettant une RCE complete via injection de prompts et evasion de sandbox. Toutes versions avant Cursor 3.0 sont affectees.
Adobe juillet 2026 : 7 vulnerabilites CVSS 10.0 critiques
Adobe corrige 7 vulnerabilites CVSS 10.0 dans ColdFusion 2023/2025 et Campaign Classic v7 le 1er juillet 2026. Patches Priority 1 a appliquer immediatement sur toutes les installations on-premise.
CVE-2026-20245 : 0-day Cisco SD-WAN Manager, aucun patch
CVE-2026-20245 est un zero-day affectant Cisco Catalyst SD-WAN Manager permettant l'exécution de commandes root via upload de fichier malveillant. Aucun correctif disponible. CISA KEV depuis le 9 juin 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire