SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation
CISA hat die SharePoint RCE-Schwachstelle CVE-2026-45659 aufgrund aktiver Ausnutzung in ihren KEV-Katalog aufgenommen. Betroffen sind Microsoft SharePoint Server, wodurch Angreifer Remotecode ausführen können. Administratoren sollten umgehend Patches einspielen, um sich vor dieser kritischen Lücke zu schützen.
CISA hat die SharePoint RCE-Schwachstelle CVE-2026-45659 in ihren KEV-Katalog aufgenommen, da sie aktiv ausgenutzt wird. Diese kritische Lücke ermöglicht Angreifern die Remotecodeausführung auf betroffenen Microsoft SharePoint Servern. Organisationen müssen umgehend Patches einspielen, um sich zu schützen.
Organisationen, die Microsoft SharePoint Server verwenden.
Die aktive Ausnutzung dieser RCE-Schwachstelle bedeutet, dass Angreifer ohne Authentifizierung die Kontrolle über SharePoint-Server übernehmen können, was zu Datenkompromittierung und Systemausfällen führen kann.
Ein Angreifer erlangt vollständige Kontrolle über den SharePoint-Server, führt beliebigen Code aus, greift auf sensible Daten zu oder nutzt den Server als Ausgangspunkt für weitere Angriffe im Netzwerk.
Umgehend alle verfügbaren Patches für Microsoft SharePoint Server installieren, um CVE-2026-45659 zu beheben.
- ▸Überprüfen Sie die Patch-Level aller Microsoft SharePoint Server in Ihrer Umgebung auf das Vorhandensein des Patches für CVE-2026-45659.
- ▸Überprüfen Sie Systemprotokolle (z.B. IIS-Logs, SharePoint ULS-Logs) auf ungewöhnliche Aktivitäten oder Fehlermeldungen, die auf eine Ausnutzung hindeuten könnten.
- ▸Stellen Sie sicher, dass Ihre Intrusion Detection/Prevention Systeme (IDS/IPS) Signaturen für bekannte Exploits von CVE-2026-45659 enthalten und aktiv sind.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Execution | T1210 Exploitation of Remote Services | High | SharePoint RCE-Schwachstelle CVE-2026-45659 ... Angreifer Remotecode ausführen können. |
- Spezifische Details zur Art der aktiven Ausnutzung (z.B. verwendete Payloads oder Angriffsvektoren).
- Die genaue Anzahl der betroffenen Organisationen oder Server.
- Ob es spezifische Versionen von SharePoint Server gibt, die anfälliger sind als andere (außer der allgemeinen Aussage 'Microsoft SharePoint Server').
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Möglich
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Möglich
Kundenfragen
- Haben wir SharePoint extern erreichbar?
- Können wir Resource Development detektieren?
- Können wir Collection detektieren?