Microsoft ha patchato un RCE SharePoint ma ha nascosto il CVE
CVE-2026-45659: RCE SharePoint Server con CVSS 8.8 omesso dall'elenco ufficiale Microsoft di maggio 2026. Chi ha aggiornato è protetto, chi ha ritardato è espo…
Contenuto
Il 12 maggio 2026, nel consueto ciclo Patch Tuesday, Microsoft ha distribuito gli aggiornamenti di sicurezza per SharePoint Server senza includere nella documentazione ufficiale il CVE-2026-45659, una vulnerabilità di esecuzione remota codice con punteggio CVSS 8.8. L'errore di omissione è emerso solo nelle settimane successive, lasciando ignari i sistemi che si affidano all'elenco CVE per pianificare gli aggiornamenti. Chi ha installato le patch di maggio è protetto senza saperlo; chi ha atteso, ritenendo l'aggiornamento non critico, espone i propri server on-premises a un attacco rete a bassa complessità.
- CVE-2026-45659 è una vulnerabilità RCE in SharePoint Server on-premises con CVSS 8.8, causata da deserialization di dati non attendibili.
- Microsoft ha rilasciato la patch il 12 maggio 2026 ma ha omesso il CVE dall'elenco iniziale degli aggiornamenti; la correzione è contenuta nei KB5002863, KB5002870 e KB5002868.
- L'attaccante deve essere autenticato con privilegi minimi di Site Member: la barriera all'ingresso è bassa in ambienti con molti utenti interni.
- Microsoft valuta l'exploitation "Less Likely" e non rileva attacchi attivi né codice exploit pubblico, ma il vettore rete e la complessità bassa rendono la vulnerabilità appetibile.
La falla nel meccanismo di disclosure
Il problema non è tecnico ma procedurale. Secondo l'advisory aggiornato di Microsoft riportato da Help Net Security, il CVE-2026-45659 è stato "inavvertitamente omesso" dall'elenco dei aggiornamenti di sicurezza di maggio 2026. La patch era presente nei file binari distribuiti il 12 maggio, ma l'identificatore non compariva nella documentazione che gli amministratori consultano per valutare la criticità degli aggiornamenti.
Questo tipo di errore, noto nel settore come "patch invisibile", compromette un anello fondamentale della supply chain della divulgazione vulnerabilità: la correlazione tra update installato e rischio mitigato. Le organizzazioni che applicano le patch automaticamente sono state protette senza consapevolezza; quelle che effettuano valutazioni rischio-beneficio basate sulla lista CVE ufficiale hanno ritardato l'installazione, esporsi inconsapevolmente.
Come funziona l'attacco: deserialization con privilegi minimi
Il meccanismo di CVE-2026-45659 risiede nella deserialization di dati non attendibili in Microsoft Office SharePoint. Il server si fida implicitamente dei dati serializzati ricevuti da utenti autenticati e li elabora senza verifica sufficiente, consentendo l'esecuzione di codice arbitrario.
"Deserialization of untrusted data in Microsoft Office SharePoint allows an authorized attacker to execute code over a network" — Microsoft MSRC, advisory CVE-2026-45659
Il vettore di attacco completo, come documentato nell'advisory Microsoft con punteggio CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, indica accesso via rete (AV:N), complessità bassa (AC:L), privilegi bassi (PR:L), nessuna interazione utente richiesta (UI:N). L'impatto è totale su confidenzialità, integrità e disponibilità. La condizione decisiva è che l'attaccante sia autenticato con permessi di Site Member, il livello più basso di accesso collaborativo in SharePoint.
Questo profilo di attacco rende la vulnerabilità particolarmente pericolosa in due scenari: ambienti con numerosi utenti interni dove la compromissione di un singolo account a basso privilegio apre l'esecuzione remota sul server, e situazioni in cui account legittimi siano stati già compromessi tramite phishing o credential stuffing.
Versioni affette e identificazione della patch
La vulnerabilità interessa esclusivamente le installazioni on-premises di SharePoint Server. Le versioni patchate, con i relativi build number, sono state documentate da Help Net Security: SharePoint Server Subscription Edition build 16.0.19725.20280 (KB5002863), SharePoint Server 2019 build 16.0.10417.20128 (KB5002870), e SharePoint Enterprise Server 2016 build 16.0.5552.1002 (KB5002868).
Le pagine di supporto Microsoft per ciascun KB elencano gli aggiornamenti di maggio 2026 ma non menzionano esplicitamente CVE-2026-45659 nel testo pubblico, confermando l'omissione documentale. La correzione del bug è tuttavia inclusa nei pacchetti binari, come verificato dall'aggiornamento successivo dell'advisory MSRC.
Non emergono nel dossier indicazioni che la vulnerabilità interessi SharePoint Online o Microsoft 365; le fonti convergono sul target on-premises.
Cosa fare adesso
Le azioni prioritarie per gli amministratori di sistema si dividono in due scenari in base allo stato degli aggiornamenti di maggio 2026:
- Verifica installazione patch: controllare la presenza dei KB5002863, KB5002870 o KB5002868 sui server SharePoint on-premises. Chi ha già installato l'aggiornamento di maggio non deve agire ulteriormente, secondo quanto dichiarato da Microsoft e riportato da Help Net Security.
- Priorità agli ambienti con molti Site Members: nei sistemi dove utenti numerosi o non fidati dispongono di permessi di Site Member, accelerare l'installazione se non ancora completata; la superficie di attacco è direttamente proporzionale al numero di account con accesso.
- Correlazione inventario-CVE: aggiornare le procedure di patch management per non basarsi esclusivamente sull'elenco CVE iniziale di Microsoft, verificando anche le revisioni retroattive degli advisory MSRC.
- Monitoraggio comportamentale: attenzione ad attività anomale da account Site Member che possano indicare tentativi di exploitation, considerando che Microsoft non rileva exploitation attiva ma il vettore rimane tecnicamente valido.
La lezione sul processo: quando la disclosure fallisce
L'incidente CVE-2026-45659 non è isolato nel panorama della divulgazione vulnerabilità Microsoft. Il dossier documenta come contesto storico CVE-2026-32201, una vulnerabilità di spoofing in SharePoint con CVSS 6.5 attivamente sfruttata e inserita nel catalogo CISA KEV, dimostrando che SharePoint è un obiettivo ricorrente per attori di minaccia.
Tuttavia, non emergono sovrapposizioni infrastrutturali tra le due vulnerabilità nel dossier: meccanismi diversi (deserialization vs spoofing), livelli di severità diversi, e nessuna indicazione che CVE-2026-45659 sia stata sfruttata o che condivida infrastruttura con CVE-2026-32201. La citazione di CVE-2026-32201 serve solo a inquadrare il profilo di rischio storico della piattaforma.
L'errore di omissione di maggio 2026 solleva una questione strutturale sulla affidabilità degli elenchi CVE come unico input per le decisioni di sicurezza. Quando il vendor stesso non cataloga una falla con impatto totale su CIA, le organizzazioni con processi maturi ma rigidi diventano vittime secondarie di un difetto di processo, non di tecnologia.
Chi ha scoperto la falla
La vulnerabilità è stata identificata e segnalata dal ricercatore noto con il moniker "MEOW", come documentato da The Hacker News e Security Affairs. Il dossier non contiene informazioni sull'identità reale del ricercatore o sull'eventuale ricompensa del bug bounty. Microsoft ha classificato l'exploitation "Less Likely" e non rileva codice exploit pubblico, ma questa valutazione non elimina il rischio per sistemi non patchati.
Il ricercatore non ha pubblicato dettagli tecnici del payload o della gadget chain di deserialization, e il dossier non contiene tali informazioni. Questo limite impedisce la costruzione di indicatori di compromissione specifici ma non riduce la criticità della vulnerabilità per sistemi esposti.
Domande frequenti
Ho SharePoint Online: devo preoccuparmi?
Le fonti indicano esclusivamente SharePoint Server on-premises come bersaglio. Il dossier non documenta l'impatto su SharePoint Online o Microsoft 365.
Perché Microsoft ha omesso il CVE dall'elenco iniziale?
Microsoft ha descritto l'omissione come inavvertita. Il dossier non contiene spiegazioni ulteriori sulle cause processuali dell'errore.
Posso verificare se il mio server è patchato senza conoscere il build number?
Sì, attraverso l'interfaccia di amministrazione di SharePoint Central Administration o tramite PowerShell, cercando la presenza dei KB5002863, KB5002870 o KB5002868 a seconda della versione installata.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/05/microsoft-patches-sharepoint-rce-flaw.html
- https://krebsonsecurity.com/2026/04/patch-tuesday-april-2026-edition/
- https://www.it-connect.tech/microsoft-patches-sharepoint-rce-flaw-cve-2026-45659/
- https://thomasharris6.wordpress.com/2026/05/26/microsoft-patches-sharepoint-rce-flaw-cve-2026-45659-across-server-versions/
- https://www.helpnetsecurity.com/2026/05/26/sharepoint-vulnerability-cve-2026-45659/
- https://securityaffairs.com/192730/security/microsoft-sharepoint-has-a-new-rce-flaw-if-you-havent-patched-yet-go-do-that.html
- https://petri.com/microsoft-fixes-sharepoint-rce-flaw-on-prem-servers/
- https://www.cve.org/CVERecord?id=CVE-2026-32201
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45659
- https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-server-subscription-edition-may-12-2026-kb5002863-91158c5e-7155-47f8-86c2-9f8924cbfa12
- https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-server-2019-may-12-2026-kb5002870-78ccf6f5-7506-42f1-b459-70c6d6d122da
- https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-sharepoint-server-2016-may-12-2026-kb5002868-5cc10216-f312-4ded-86d2-4940b3a1fded