Microsoft

CVE-2026-45659: vulnerabilità RCE ad alta severità in SharePoint Server — patch disponibile

Dario Fadda Maggio 30, 2026

Microsoft ha rilasciato aggiornamenti di sicurezza per correggere una vulnerabilità di esecuzione di codice remoto ad alta severità in Microsoft SharePoint Server, tracciata come CVE-2026-45659, con un punteggio CVSS di 8.8. La patch è stata inclusa nel ciclo di aggiornamento di maggio 2026, ma con una particolarità importante: la CVE era stata inizialmente omessa per errore dalle note di rilascio ufficiali di Patch Tuesday, rendendo necessaria una comunicazione separata da parte di Microsoft.

Dettagli tecnici della vulnerabilità

CVE-2026-45659 è una vulnerabilità di deserializzazione di dati non attendibili (Deserialization of Untrusted Data) che colpisce Microsoft SharePoint Server. Questo tipo di flaw è particolarmente insidioso: l’attaccante può forgiare un payload serializzato che, una volta processato lato server, porta all’esecuzione arbitraria di codice nel contesto del processo SharePoint.

Secondo l’advisory ufficiale Microsoft, il vettore di attacco ha le seguenti caratteristiche:

  • Vettore di attacco: Network (AV:N) — sfruttabile da remoto via rete
  • Complessità dell’attacco: Low (AC:L) — non richiede condizioni particolari o conoscenza avanzata del sistema target
  • Privilegi richiesti: Low (PR:L) — l’attaccante deve essere autenticato con permessi minimi di tipo Site Member
  • Interazione utente: None (UI:N) — non richiede alcuna interazione da parte di utenti legittimi
  • Scope: Unchanged (S:U)
  • Impatto: Alto su Confidentiality, Integrity e Availability (C:H/I:H/A:H)

In un attacco basato su rete, un attaccante autenticato con permessi di livello Site Member può eseguire codice arbitrario sul server SharePoint. L’assenza del requisito di privilegi elevati amplia significativamente la superficie di attacco: in molte organizzazioni, decine o centinaia di utenti dispongono di permessi di membr su almeno un sito SharePoint.

Versioni di SharePoint Server interessate

La vulnerabilità colpisce esclusivamente le installazioni on-premises. SharePoint Online (Microsoft 365) non è interessato. Le versioni vulnerabili sono:

  • Microsoft SharePoint Server Subscription Edition
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Enterprise Server 2016

Se la vostra organizzazione utilizza ancora SharePoint 2016 o 2019, o la più recente Subscription Edition in modalità on-premises, è necessario applicare immediatamente le patch rilasciate.

Come verificare se il proprio server è vulnerabile

Il primo passo è verificare la build installata di SharePoint. Da PowerShell sul server SharePoint:

(Get-SPFarm).BuildVersion

Oppure dalla Central Administration: System Settings → Manage servers in this farm, dove è visibile la versione corrente di ogni server nel farm.

Per verificare se la patch di maggio 2026 è già installata, controllate la cronologia degli aggiornamenti in Central Administration → Upgrade and Migration → Review database upgrade status oppure utilizzate PowerShell:

Get-SPProduct -Local | Select-Object DisplayName, Version, Status

Procedura di patching

Microsoft ha rilasciato gli aggiornamenti cumulativi di maggio 2026 che includono la correzione per CVE-2026-45659. Il processo standard per applicare gli aggiornamenti in un farm SharePoint on-premises richiede attenzione all’ordine di deployment:

  1. Download dell’aggiornamento: recuperare il Cumulative Update di maggio 2026 specifico per la propria versione di SharePoint dal Microsoft Update Catalog
  2. Backup pre-patch: eseguire il backup del farm e dei database di contenuto prima di procedere
  3. Installazione binari: eseguire il file di aggiornamento (.exe) su ogni server del farm, partendo dai server che non ospitano il ruolo Central Administration
  4. Esecuzione della PSConfig: completare il processo di upgrade dei database con SharePoint Products Configuration Wizard o via PowerShell:
cd "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\BIN"
.\psconfig.exe -cmd upgrade -inplace b2b -wait -cmd applicationcontent -install -cmd installfeatures
  1. Verifica post-patch: controllare lo stato dell’aggiornamento in Central Administration e verificare che tutti i server del farm siano allineati alla stessa build

Misure di mitigazione temporanea

Se per ragioni operative non fosse possibile applicare immediatamente la patch, alcune misure possono ridurre il rischio:

  • Limitare l’accesso alla rete: isolare i server SharePoint on-premises su segmenti di rete interni, limitando l’accesso solo agli utenti autorizzati tramite firewall perimetrale o network policy
  • Revisione dei permessi: rivedere chi dispone di permessi Site Member o superiori su tutti i siti SharePoint, rimuovendo accessi non necessari
  • Monitoraggio dei log: abilitare audit avanzato su SharePoint e monitorare i log ULS per pattern anomali di deserializzazione o errori inusuali legati a oggetti ViewState
  • Web Application Firewall: se disponibile, configurare regole WAF specifiche per filtrare payload di deserializzazione malevoli diretti ai servizi SharePoint

Contesto storico e rischio reale

Microsoft ha valutato CVE-2026-45659 come Exploitation Less Likely al momento del rilascio. Tuttavia, questa classificazione non deve indurre alla complacenza: le vulnerabilità RCE di SharePoint hanno una lunga storia di sfruttamento attivo da parte di threat actor sia opportunistici che APT. CVE-2019-0604, CVE-2020-0646 e la più recente CVE-2023-29357 sono stati tutti sfruttati pesantemente in ambienti reali, spesso mesi dopo la disponibilità delle patch.

Il fatto che l’attaccante necessiti solo di permessi Site Member — e non di admin o permessi speciali — rende questa vulnerabilità particolarmente interessante per attacchi di tipo privilege escalation post-phishing: un account compromesso con accesso basilare a un sito SharePoint potrebbe essere sufficiente per ottenere esecuzione di codice sul server.

Conclusione

CVE-2026-45659 rappresenta un rischio concreto per tutte le organizzazioni che gestiscono SharePoint Server on-premises. Con un CVSS di 8.8, attacco via rete senza interazione utente e requisiti minimi di autenticazione, la superficie esposta è ampia. La priorità deve essere applicare gli aggiornamenti cumulativi di maggio 2026 al più presto, seguendo il processo standard di patching del farm.

Chi non può procedere immediatamente deve implementare le misure di mitigazione descritte sopra e pianificare un intervento urgente di manutenzione. L’omissione iniziale dalle note ufficiali di Patch Tuesday rende ancora più importante verificare proattivamente che i propri sistemi siano protetti.

Fonti: Petri IT Knowledgebase, The Hacker News — CVE-2026-45659, Help Net Security

💬 Unisciti alla discussione!


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@spcnet.it e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su CVE-2026-45659: vulnerabilità RCE ad alta severità in SharePoint Server — patch disponibile, utilizza la discussione sul Forum.
Condividi la tua esperienza, confrontati con altri professionisti e approfondisci i dettagli tecnici nel nostro 👉 forum community