Une vulnérabilité critique affectant Microsoft SharePoint Server fait désormais l'objet d'exploitations actives, poussant la Cybersecurity and Infrastructure Security Agency (CISA) à inscrire cette faille à son catalogue des vulnérabilités connues et exploitées (KEV). Identifiée sous le code CVE-2026-45659 et dotée d'un score CVSS de 8,8 sur 10, cette brèche de sécurité permet à un attaquant disposant d'un accès authentifié d'exécuter du code à distance sur un serveur vulnérable, sans nécessité de privilèges d'administration.
Un correctif publié en mai, mais une adoption insuffisante
Microsoft avait déjà corrigé cette faille lors de sa mise à jour mensuelle de mai 2026. Cependant, la CISA a observé que des acteurs malveillants exploitent désormais activement cette vulnérabilité dans des attaques réelles. L'alerte, émise le 1er juillet 2026, transforme cette faille en priorité absolue pour les organisations utilisant encore une version non patchée de SharePoint Server. Le catalogue KEV de la CISA sert de référence aux agences fédérales américaines et aux entreprises pour identifier les vulnérabilités les plus dangereuses à corriger en priorité.
Détails techniques de la vulnérabilité
La CVE-2026-45659 est classée comme une vulnérabilité d'exécution de code à distance (RCE). Pour être exploitée, elle nécessite que l'attaquant soit déjà authentifié sur le serveur SharePoint ciblé. Une fois cette condition remplie, il peut exécuter des commandes arbitraires, potentiellement pour prendre le contrôle du serveur, dérober des données ou installer des malwares. Le score CVSS élevé (8,8) souligne la gravité de la faille, même si elle n'est pas exploitable sans authentification préalable. Les experts estiment que des groupes de cybercriminels ou des acteurs étatiques pourraient déjà l'utiliser dans des campagnes ciblées.
Recommandations urgentes
La CISA exhorte toutes les entités utilisant Microsoft SharePoint Server à appliquer le correctif publié par Microsoft sans délai. Les administrateurs doivent vérifier que leurs systèmes sont à jour avec la mise à jour de sécurité de mai 2026. En l'absence de correctif, les mesures d'atténuation comprennent la restriction des accès réseau aux serveurs SharePoint, la mise en place d'une authentification multifacteur et la surveillance renforcée des activités suspectes. La CISA précise que les agences fédérales américaines ont jusqu'à une date butoir pour appliquer le correctif, mais recommande vivement au secteur privé d'en faire autant.
Contexte et précédents
Cette alerte intervient dans un contexte de multiplication des attaques ciblant les serveurs Microsoft. SharePoint, largement déployé dans les entreprises et les administrations pour la gestion documentaire et la collaboration, constitue une cible de choix pour les cyberattaquants. Plusieurs failles de cette plateforme ont été ajoutées au catalogue KEV ces dernières années, illustrant l'importance de maintenir ces systèmes à jour. La CISA rappelle que l'exploitation active de CVE-2026-45659 a été confirmée, ce qui rend la correction impérative pour éviter des compromissions.
Conclusion
La découverte de l'exploitation active de CVE-2026-45659 souligne l'urgence pour les organisations de patcher leurs serveurs SharePoint. Le correctif existe depuis mai, mais le délai entre la publication du correctif et l'exploitation active est relativement court. Les équipes de sécurité doivent agir rapidement pour réduire la fenêtre d'exposition.