Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) ostrzega przed aktywnym wykorzystywaniem nowej, krytycznej luki w zabezpieczeniach oprogramowania Microsoft SharePoint. Podatność, oznaczona jako CVE-2026-58644, otrzymała w skali CVSS maksymalną ocenę 9,8 na 10, co wskazuje na jej wyjątkowo wysoki stopień zagrożenia dla bezpieczeństwa serwerów.
Charakterystyka zagrożenia
Problem dotyczy błędnej deserializacji niezaufanych danych. W praktyce oznacza to, że atakujący, który posiada uprawnienia co najmniej właściciela witryny, może wykorzystać ten błąd do zdalnego wykonania dowolnego kodu na serwerze SharePoint. Microsoft w swoim komunikacie wyjaśnia mechanizm ataku:
W ataku sieciowym osoba atakująca, uwierzytelniona jako co najmniej właściciel witryny, może zapisać dowolny kod, aby wstrzyknąć go i wykonać zdalnie na serwerze SharePoint.
Choć początkowo luka nie była klasyfikowana jako aktywnie wykorzystywana, Microsoft zaktualizował swoje zalecenia po wykryciu prób jej eksploatacji w rzeczywistych środowiskach. W konsekwencji CISA wpisała ten błąd do katalogu znanych podatności wykorzystywanych w atakach (Known Exploited Vulnerabilities – KEV).
Pilne działania naprawcze
Zgodnie z wytycznymi BOD 26-04, agencje federalne w Stanach Zjednoczonych zostały zobowiązane do zainstalowania poprawek w ciągu trzech dni od wpisania luki do rejestru KEV. W ramach lipcowej aktualizacji Patch Tuesday, Microsoft załatał również inne istotne błędy w SharePoint, w tym:
Dodatkowe zagrożenia w infrastrukturze
CISA rozszerzyła listę KEV również o dwie inne podatności, które dotyczą urządzeń Fortinet FortiSandbox. Są to błędy wstrzykiwania poleceń systemu operacyjnego (CVE-2026-25089 oraz CVE-2026-39808), załatane odpowiednio w kwietniu i czerwcu bieżącego roku. Podatności te umożliwiają atakującym zdalne wykonanie dowolnego kodu lub poleceń na urządzeniach sieciowych. Informacje o ich wykorzystywaniu w atakach pojawiły się w połowie czerwca, a agencje federalne również w tym przypadku mają trzy dni na wdrożenie odpowiednich aktualizacji zabezpieczeń.

