CVE-2026-45659 : Microsoft corrige une RCE dans SharePoint Server

Une désérialisation dangereuse au cœur de SharePoint

Le 26 mai 2026, Microsoft a inclus dans son Patch Tuesday mensuel un correctif pour CVE-2026-45659, une vulnérabilité d'exécution de code à distance (Remote Code Execution, RCE) affectant plusieurs versions de SharePoint Server. Avec un score CVSS de 8.8, la faille est classifiée « élevée » et représente une menace réelle pour l'ensemble des organisations qui exploitent encore cette solution de collaboration sur site.

La vulnérabilité tire son origine d'un mécanisme de désérialisation de données non fiables. SharePoint Server, comme de nombreuses applications d'entreprise, utilise la sérialisation pour transformer des objets en transit réseau ou lors du stockage temporaire. Lorsque ces données désérialisées ne sont pas correctement validées, un attaquant peut injecter des objets arbitraires qui sont instanciés et exécutés par le processus serveur. Dans le cas de CVE-2026-45659, ce scénario est réalisable par tout utilisateur disposant d'un accès authentifié de niveau « Site Member », soit le niveau de permission le plus bas permettant d'interagir avec le contenu SharePoint. Aucune interaction utilisateur supplémentaire n'est requise et la complexité d'attaque est jugée faible (AC:L), ce qui abaisse considérablement le seuil d'exploitation.

Le périmètre d'impact couvre trois versions encore largement déployées en production : SharePoint Server Subscription Edition (la version la plus récente en on-premises), SharePoint Server 2019 et SharePoint Enterprise Server 2016. Ces versions sont présentes dans d'innombrables environnements d'entreprise, notamment dans le secteur public et les industries financières et manufacturières où les contraintes de souveraineté des données ou de conformité imposent des déploiements on-premises plutôt que le recours à SharePoint Online dans Microsoft 365. La faille a été découverte et signalée de façon responsable par un chercheur identifié sous le pseudonyme « MEOW » dans le bulletin officiel Microsoft. Le fait qu'elle soit publiée via le canal de divulgation coordinée témoigne d'un processus de responsabilisation des chercheurs, mais n'enlève rien à l'urgence d'application du patch.

Sur le plan technique, le vecteur d'attaque est réseau (AV:N), ce qui signifie qu'une exploitation à distance, sans accès physique à la machine cible, est possible. Les paramètres CVSS complets (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) indiquent un impact potentiellement total sur la confidentialité, l'intégrité et la disponibilité du système compromis. En clair, un attaquant parvenant à exploiter la faille obtient une exécution de code avec les privilèges du processus SharePoint, lui ouvrant la porte à l'exfiltration de données, à la modification de contenu ou à l'utilisation du serveur comme pivot dans l'infrastructure.

Un attaquant ayant compromis un serveur SharePoint hérite d'un accès à l'ensemble du contenu hébergé sur cette instance : documents RH, données financières, propriété intellectuelle, communications internes, voire des tokens d'authentification ou des secrets applicatifs intégrés dans des workflows automatisés. Dans les architectures hybrides Microsoft 365, un pivot depuis le SharePoint on-premises peut également permettre d'atteindre des ressources cloud si les mécanismes de trust entre environnements ne sont pas correctement segmentés.

Microsoft a noté dans son advisory que l'exploitation active est considérée comme « moins probable » à ce stade, mais cette évaluation doit être interprétée avec prudence : elle reflète l'état au moment de la publication et peut évoluer rapidement. Des acteurs de la menace — notamment des opérateurs de ransomware ou des groupes APT disposant d'équipes de reverse engineering — analysent systématiquement les patches Microsoft pour identifier les vulnérabilités corrigées et développer des exploits dans les jours qui suivent la publication. L'historique montre que les failles SharePoint sont particulièrement appréciées des attaquants pour leur capacité à fournir un accès initial dans des environnements d'entreprise hautement privilégiés.

La correction est disponible via les canaux habituels de distribution Microsoft : Windows Update, Microsoft Update Catalog et les outils de gestion de patches d'entreprise tels que WSUS (Windows Server Update Services) et MECM/ConfigMgr. Des packages spécifiques ont été produits pour chacune des trois versions concernées. Microsoft recommande une application sans délai, en particulier pour les instances SharePoint accessibles depuis Internet ou depuis des zones réseau non maîtrisées telles que les réseaux d'accès distant ou les zones partenaires.

Ce correctif s'inscrit dans le contexte d'un Patch Tuesday de mai 2026 particulièrement chargé, qui comprenait également des correctifs pour d'autres composants de la suite Microsoft. Les équipes de sécurité opérationnelle font face à une priorisation difficile dans un mois marqué par de multiples incidents actifs. Pourtant, une faille RCE de score CVSS 8.8 dans un système aussi central que SharePoint Server ne peut raisonnablement pas être différée : le risque d'exploitation post-publication est réel et documenté par l'histoire récente des vulnérabilités SharePoint.

Un historique qui justifie l'urgence d'application

SharePoint Server n'est pas à son premier incident de sécurité majeur. CVE-2019-0604, une vulnérabilité RCE similaire liée à la désérialisation, avait été activement exploitée en 2019 par des groupes APT dans des campagnes ciblant des gouvernements au Moyen-Orient et en Asie. En 2020, CVE-2020-0646 avait également fait l'objet d'exploitation par des acteurs étatiques cherchant un accès initial aux réseaux d'entreprise. Ces précédents montrent que les failles SharePoint deviennent rapidement des vecteurs d'entrée privilégiés une fois connues et non patchées, en particulier dans un écosystème où de nombreuses organisations tardent à appliquer les correctifs sur leurs systèmes on-premises.

Du point de vue réglementaire, une exploitation réussie de CVE-2026-45659 entraînant une violation de données personnelles crée des obligations légales immédiates. En Europe, le RGPD impose une notification à l'autorité de contrôle compétente — la CNIL en France — dans un délai de 72 heures à compter de la prise de connaissance de la violation. La directive NIS2, entrée en application en octobre 2024, ajoute des obligations similaires pour les entités essentielles et importantes. Les sanctions potentielles pour manquement — jusqu'à 4 % du chiffre d'affaires mondial sous RGPD ou 10 millions d'euros pour les entités NIS2 de taille intermédiaire — se combinent aux coûts de réponse à incident pour faire de la gestion de ce patch une priorité business à part entière.

L'équipe de sécurité de Microsoft a également rappelé dans son advisory les bonnes pratiques complémentaires au patching : limiter les permissions accordées aux utilisateurs SharePoint au strict nécessaire (principe du moindre privilège), mettre en place une surveillance des activités anormales via les journaux d'audit SharePoint, et s'assurer que les instances SharePoint on-premises bénéficient d'une segmentation réseau appropriée. Ces mesures de défense en profondeur réduisent l'impact d'une exploitation éventuelle mais ne sauraient se substituer à l'application du correctif.

Enfin, il est important de souligner que les failles de désérialisation sont structurellement difficiles à détecter en conditions opérationnelles sans agents EDR correctement configurés. Le trafic d'exploitation peut ressembler à du trafic applicatif légitime, et l'absence de comportement bruyant peut donner une fausse impression de sécurité. La seule mesure véritablement efficace contre CVE-2026-45659 reste l'application du patch fourni par Microsoft.

Ce qu'il faut retenir

• CVE-2026-45659 est une RCE CVSS 8.8 dans SharePoint Server 2016, 2019 et Subscription Edition, exploitable par tout utilisateur authentifié sans condition préalable complexe.
• Le patch est disponible depuis le 26 mai 2026 via Windows Update et le Microsoft Update Catalog — prioriser les instances exposées à Internet.
• L'historique des exploitations SharePoint (CVE-2019-0604, CVE-2020-0646) montre que les acteurs malveillants ciblent rapidement ces failles pour obtenir un accès initial dans des réseaux d'entreprise.