En bref

  • CVE-2026-50522 et CVE-2026-58644 : double RCE non authentifiée dans Microsoft SharePoint Server via désérialisation de données non fiables, CVSS 9.8 — CVE-2026-58644 activement exploitée in-the-wild
  • Systèmes affectés : SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition
  • Action urgente : appliquer les correctifs Microsoft du 14 juillet 2026 immédiatement — une des deux failles est en exploitation active sans correctif préalable disponible

Les faits

Le Patch Tuesday de juillet 2026 a introduit une surprise de taille pour les équipes sécurité gérant des environnements SharePoint : Microsoft a corrigé simultanément deux vulnérabilités d'exécution de code à distance (RCE) distinctes dans SharePoint Server, CVE-2026-50522 et CVE-2026-58644, toutes deux dotées d'un score CVSS 3.1 de 9.8 et partageant le même vecteur d'exploitation — la désérialisation de données non fiables (CWE-502, Deserialization of Untrusted Data). Cette combinaison représente l'un des couples de vulnérabilités les plus dangereux divulgués dans l'écosystème Microsoft en 2026.

CVE-2026-50522 a une histoire particulière : elle a été présentée et démontrée en conditions réelles lors de la compétition Pwn2Own Berlin 2026, où des chercheurs en sécurité ont réussi à déclencher une exécution de code arbitraire sur une instance SharePoint Server à jour (avant le patch). Dans le cadre du programme Pwn2Own, les détails techniques et le code d'exploit sont transmis au vendeur — ici Microsoft — qui dispose ensuite d'un délai pour développer et publier un correctif. La démonstration live à Pwn2Own signifie qu'un exploit fonctionnel, développé et contrôlé par des chercheurs, existe et a été remis à Microsoft. Bien que les chercheurs Pwn2Own suivent généralement une politique de divulgation responsable, la technique peut être redécouverte indépendamment par des acteurs malveillants.

CVE-2026-58644 présente une situation encore plus critique : Microsoft a confirmé que cette vulnérabilité était activement exploitée in-the-wild au moment de la publication du correctif, en faisant un véritable zero-day utilisé dans des attaques réelles. Les détails sur les acteurs malveillants exploitant CVE-2026-58644 et leurs cibles n'ont pas été rendus publics par Microsoft, mais la nature de la faille — RCE non authentifié dans un serveur de collaboration d'entreprise largement déployé — correspond typiquement aux TTPs (Tactics, Techniques and Procedures) des groupes de ransomware ciblant les entreprises ou des acteurs APT recherchant un accès initial à des réseaux d'entreprise.

Le vecteur technique commun aux deux CVE est la désérialisation de données non fiables. Dans SharePoint Server, certains endpoints web acceptent des objets sérialisés (données encodées représentant des structures applicatives complexes) et les désérialisent côté serveur pour traiter des requêtes. La vulnérabilité réside dans l'absence de validation ou de filtrage suffisant des données sérialisées entrantes avant leur traitement. Un attaquant peut crafler un objet sérialisé malveillant qui, lors de la désérialisation par le serveur, déclenche l'exécution de code arbitraire dans le contexte du processus SharePoint — typiquement sous un compte de service avec des privilèges élevés sur le système.

Les deux CVE sont exploitables sans authentification préalable (PR:N) et sans interaction utilisateur (UI:N), avec une complexité d'attaque faible (AC:L) et un vecteur réseau (AV:N). Ces paramètres représentent le pire scénario possible : tout attaquant capable d'atteindre le port HTTP/HTTPS du serveur SharePoint peut déclencher l'exploitation sans avoir besoin de credentials ni de manipulation d'un utilisateur. Dans les organisations où SharePoint est exposé sur Internet (SharePoint en mode extranet ou SharePoint Online synchronisé avec un farm on-premises), la surface d'attaque externe est maximale.

Les versions affectées sont SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition (SPSE) — soit l'ensemble des versions on-premises actuellement supportées par Microsoft. SharePoint Online (Microsoft 365) n'est pas directement affecté par ces CVE car Microsoft gère les mises à jour de l'infrastructure cloud de manière centralisée et indépendante du cycle Patch Tuesday. Cependant, les environnements hybrides où un farm SharePoint on-premises est connecté à Microsoft 365 doivent être traités en priorité, car une compromission du farm on-premises peut impacter la synchronisation d'identités et de contenus vers le cloud.

Il est important de distinguer CVE-2026-50522 et CVE-2026-58644 de CVE-2026-45659 (SharePoint RCE CVSS 8.8, exploitée par le groupe Storm-2603, ajoutée au CISA KEV le 1er juillet 2026). Il s'agit de trois vulnérabilités distinctes dans le même produit : CVE-2026-45659 exploite une désérialisation dans un composant différent avec un vecteur authentifié (CVSS 8.8), tandis que CVE-2026-50522 et CVE-2026-58644 sont non authentifiées (CVSS 9.8). Appliquer le patch de CVE-2026-45659 ne protège pas contre les deux nouvelles CVE, et vice-versa — les correctifs adressent des vecteurs d'attaque distincts.

Le contexte global est préoccupant : SharePoint Server fait l'objet d'une attention intense de la part des attaquants depuis début 2026, avec plusieurs CVE critiques exploitées successivement. Cette tendance suggère soit que le code de SharePoint Server contient des vulnérabilités structurelles liées à la gestion de la désérialisation, soit que des acteurs malveillants ont investi des ressources significatives dans l'audit de sécurité de SharePoint pour des campagnes ciblées. Les équipes sécurité doivent traiter SharePoint Server comme une cible prioritaire et renforcer la surveillance des accès à ces serveurs. Microsoft a publié des informations sur l'intégration AMSI (Antimalware Scan Interface) pour SharePoint, qui peut détecter des requêtes POST malveillantes avant leur désérialisation, offrant une couche de protection supplémentaire.

Impact et exposition

Microsoft SharePoint Server est l'une des plateformes de collaboration d'entreprise les plus déployées au monde. Les organisations de taille moyenne à grande, les administrations publiques, les établissements d'enseignement supérieur et les organismes de santé maintiennent fréquemment des farms SharePoint on-premises contenant des documents confidentiels, des processus métier critiques et des intégrations avec des systèmes de données sensibles. Une compromission RCE dans ce contexte donne accès à l'ensemble du contenu SharePoint et peut servir de pivot vers d'autres systèmes du réseau.

L'exposition externe est significative : de nombreuses organisations exposent SharePoint sur Internet pour le travail à distance, l'extranet partenaires ou l'accès depuis des appareils mobiles non managés. Les scanners automatiques (Shodan, Censys, outils spécialisés) permettent d'identifier facilement les instances SharePoint accessibles publiquement, créant un inventaire de cibles potentielles pour des acteurs malveillants. La confirmation d'exploitation in-the-wild de CVE-2026-58644 indique que ce ciblage automatisé est déjà en cours.

Les organisations utilisant uniquement SharePoint Online (Microsoft 365) sans farm on-premises ne sont pas affectées par ces CVE spécifiques. Pour les environnements hybrides, la priorité de remédiation doit être accordée aux farms SharePoint directement accessibles depuis Internet, suivis des farms internes accessibles depuis des zones réseau moins fiables (DMZ, VLANs invités, accès VPN sans MFA robuste).

Recommandations immédiates

  • Appliquer les correctifs Microsoft du 14 juillet 2026 pour SharePoint Server (Enterprise Server 2016, Server 2019, Server Subscription Edition) — advisory Microsoft Security Update Guide CVE-2026-50522 et CVE-2026-58644
  • En urgence immédiate si le patch ne peut pas être appliqué : restreindre l'accès réseau aux serveurs SharePoint en bloquant les requêtes non authentifiées depuis des zones non fiables au niveau du WAF ou du reverse proxy
  • Activer l'intégration AMSI sur les serveurs SharePoint pour scanner les requêtes POST malveillantes : Microsoft recommande AMSI comme mitigation partielle pour les attaques basées sur la désérialisation
  • Vérifier si CVE-2026-45659 (patch du 1er juillet 2026) a également été appliqué — trois CVE SharePoint distinctes nécessitent des patches séparés en juillet 2026
  • Auditer les logs IIS et SharePoint ULS pour détecter des requêtes POST anormales vers des endpoints de désérialisation (/_vti_bin/, /_layouts/) depuis des adresses IP non reconnues
  • Indicateurs de compromission potentiels : processus enfants anormaux créés par le processus SharePoint (w3wp.exe), connexions réseau sortantes inhabituelles depuis les serveurs SharePoint, présence de webshells dans les répertoires IIS

⚠️ Urgence

CVE-2026-58644 est activement exploitée in-the-wild — zero-day avec exploitation confirmée avant publication du correctif. CVE-2026-50522 dispose d'un exploit fonctionnel démontré en live à Pwn2Own Berlin 2026. Les deux failles sont non authentifiées, réseau-accessible, CVSS 9.8. Si votre SharePoint Server on-premises est accessible depuis Internet, considérez une coupure temporaire de l'accès externe jusqu'à application des correctifs.

Comment savoir si je suis vulnérable ?

Identifiez vos farms SharePoint on-premises et leur version via PowerShell SharePoint Management Shell : (Get-SPFarm).BuildVersion. Si le numéro de build est antérieur aux builds publiées le 14 juillet 2026 par Microsoft pour votre version (Enterprise Server 2016, Server 2019 ou Subscription Edition), le système est vulnérable. Vérifiez également si le Central Administration indique des mises à jour manquantes dans la section « Upgrade and Migration ». Pour les expositions réseau : Test-NetConnection -ComputerName [serveur-sharepoint] -Port 443 depuis Internet vous confirmera si le serveur est accessible publiquement.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit