// 1 CRITICAL · 2 ZERO-DAY · 6 CVE · 3 EXPLOIT NELLE ULTIME 24H
CVE-2026-50522 consente esecuzione remota non autenticata su SharePoint Server tramite bypass della verifica crittografica sui token di sessione. Patch disponibili.

La Zero Day Initiative ha pubblicato il 15 luglio 2026 l'advisory ZDI-26-413, che documenta una vulnerabilità di esecuzione remota di codice in Microsoft SharePoint Server con CVSS 9.8. La criticità massima deriva da un difetto nella verifica delle firme crittografiche sui session security token, che consente a un attaccante di rete di eseguire codice arbitrario senza autenticazione, potenzialmente nel contesto del service account del server.

Punti chiave
  • ZDI-26-413 (CVE-2026-50522) ha CVSS 9.8 CRITICAL: attacco di rete, complessità bassa, nessun privilegio richiesto, nessuna interazione utente.
  • Il difetto specifico risiede nella gestione dei session security token di SharePoint, con mancata verifica della firma crittografica.
  • Le versioni affette sono SharePoint Server 2019 e Subscription Edition on-premise; Microsoft ha rilasciato patch corrispondenti.
  • La vulnerabilità è stata scoperta da splitline del DEVCORE Research Team nel contesto del programma Pwn2Own.

Da Pwn2Own alla disclosure: 55 giorni di coordinamento

La segnalazione a Microsoft è avvenuta il 21 maggio 2026. La disclosure coordinata è stata pubblicata il 15 luglio 2026, dopo un intervallo di 55 giorni. Questa timeline riflette il tipico ciclo di gestione delle vulnerabilità riportate attraverso programmi di bug bounty strutturati come quello della ZDI. La presenza del prefisso "(Pwn2Own)" nel titolo dell'advisory conferma che la vulnerabilità è stata dimostrata in un contesto competitivo di exploitation, con Proof of Concept funzionante.

Il ricercatore accreditato è splitline, membro del DEVCORE Research Team. La fonte non specifica i dettagli completi del PoC esibito durante la competizione, né se la catena di attacco dimostrata abbia richiesto vulnerabilità aggiuntive oltre ZDI-26-413.

"This vulnerability allows remote attackers to execute arbitrary code on affected installations of Microsoft SharePoint. Authentication is not required to exploit this vulnerability." — ZDI Advisory ZDI-26-413

Il meccanismo: quando la firma crittografica diventa invisibile

Secondo l'advisory ZDI, "the specific flaw exists within the handling of session security tokens. The issue results from the lack of proper verification of a cryptographic signature." Questa formulazione tecnica identifica con precisione il componente vulnerabile: non un generico parser di input, ma il sottosistema che gestisce i token di sicurezza di sessione e ne valida la firma crittografica.

L'implicazione è che un attaccante possa forgiare o manipolare token che il server accetta come legittimi, bypassando il controllo d'integrità. La citazione continua: "An attacker can leverage this in conjunction with other vulnerabilities to execute code in the context of the service account." Questo indica una potenziale catena di exploit, sebbene la fonte non elenchi quali "altre vulnerabilità" siano necessarie.

CVSS 9.8 CRITICAL: perché il punteggio è massimo

Il record CVE-2026-50522, pubblicato su cve.org, assegna alla vulnerabilità un punteggio CVSS 3.1 di 9.8 con livello CRITICAL. Il vector string completo — AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — codifica una combinazione particolarmente pericolosa: attacchi via rete (AV:N), complessità di attacco bassa (AC:L), nessun privilegio richiesto (PR:N), nessuna interazione utente necessaria (UI:N), con impatto alto su confidenzialità, integrità e disponibilità (C:H/I:H/A:H).

La mancanza di requisiti di autenticazione e interazione distingue questa vulnerabilità da molte altre in applicazioni enterprise, dove tipicamente serve almeno un account valido o una vittima che clicchi un link. In questo caso, la superficie di attacco è aperta a qualsiasi origine di rete raggiungibile.

Cosa fare adesso

  • Verificare la versione installata di SharePoint Server: 2019 deve essere aggiornata alla 16.0.10417.20175 o successiva; Subscription Edition alla 16.0.19725.20434 o successiva, secondo le versioni indicate nel record CVE.
  • Prioritizzare l'applicazione delle patch nel ciclo di manutenzione più prossimo, data la combinazione di accessibilità di rete e assenza di prerequisiti di autenticazione.
  • Ispezionare i log di accesso a SharePoint Server per anomalie nei pattern di utilizzo dei session token, sebbene la fonte non specifichi indicatori di compromissione precisi.
  • Rivedere le architetture di rete che espongono istanze SharePoint on-premise alla rete esterna, considerando la riduzione della superficie di attacco fino al completamento dell'aggiornamento.

Il contesto: token di sessione e catena di trust in piattaforme enterprise

La vulnerabilità mette in luce un pattern ricorrente nelle piattaforme enterprise Microsoft: la delegazione della sicurezza a meccanismi di token che, se implementati con verifiche crittografiche insufficienti, collassano l'intero perimetro di autenticazione. I session security token sono progettati per portare affermazioni di identità e autorizzazione; quando la firma che li protegge non viene verificata, il token diventa veicolo di arbitraria impersonazione.

La fonte non specifica se il difetto interessi anche componenti correlati di SharePoint o se la stessa logica di verifica sia replicata in altri prodotti Microsoft. Resta inoltre non confermato se la vulnerabilità sia stata sfruttata in-the-wild prima della pubblicazione della patch. Il service account nel cui contesto viene eseguito il codice non è qualificato: la fonte non indica se si tratti di SYSTEM, NETWORK SERVICE o un account dedicato, con conseguente variabilità nell'impatto effettivo di un exploit riuscito.

Domande frequenti

SharePoint Online è a rischio?

No. Le versioni affette sono esclusivamente SharePoint Server 2019 e Subscription Edition on-premise. Il record CVE non elenca SharePoint Online o servizi Microsoft 365.

Perché l'advisory ZDI non riporta il CVSS?

Il campo CVSS nell'advisory ZDI estratto è vuoto; tuttavia il record CVE-2026-50522 su cve.org conferma il punteggio 9.8 CRITICAL con vector string completo. La convergenza tra fonti primarie rende il dato affidabile.

Cosa significa "in conjunction with other vulnerabilities"?

La citazione dalla fonte ZDI indica che l'exploitation completa potrebbe richiedere catena con altri difetti, ma non specifica quali. Non è quindi possibile determinare se ZDI-26-413 sia sufficiente da sola per l'esecuzione di codice o necessiti di componenti aggiuntivi.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. zerodayinitiative.com
  2. cve.org