聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软已发布更新,修复了一个影响 SharePoint 的“重要”级别的远程代码执行 (RCE) 漏洞CVE-2026-45659(CVSS评分8.8),可被攻击者在无需满足任何特定条件的情况下利用。
微软在上周发布的安全公告中表示:“Microsoft Office SharePoint 中对不可信数据的反序列化,使得已授权的攻击者能够通过网络执行代码。”微软指出,该漏洞可被任何已通过身份验证的攻击者触发,且无需管理员或其它高级权限。微软表示,“在网络攻击场景中,拥有至少‘网站成员’权限(PR:L)的已认证攻击者,可以在 SharePoint 服务器上远程执行代码。”
微软致谢了发现与报告该漏洞的研究员 MEOW。该公司已为如下版本发布更新:
SharePoint Server Subscription Edition
SharePoint Server 2019
SharePoint Enterprise Server 2016
上个月,微软还为影响 Microsoft SharePoint Server 的一个欺骗漏洞(CVE-2026-32201,CVSS 评分6.5)发布修复程序,并表示该漏洞已遭在野利用。
尽管微软指出 CVE-2026-45659 被利用的可能性较低,但用户仍需应用必要的更新以获得最佳防护,尤其是考虑到多年来该协作平台中的多个漏洞已被攻击者反复武器化利用的情况。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
微软紧急修复正遭利用的 SharePoint RCE 0day漏洞
CISA称微软 SharePoint RCE 漏洞已遭在野利用
新瓶装旧酒:微软修复3个月后,SharePoint RCE 漏洞重现
微软将本地版Exchange、SharePoint和Skype 纳入漏洞奖励计划
比 Windows DNS 蠕虫漏洞更严重!SharePoint 反序列化RCE漏洞详情已发布,速修复
原文链接
https://thehackernews.com/2026/05/trapdoor-supply-chain-attack-spreads.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
)