Microsoft hat zum 21. Mai 2026 einen Hinweis auf ein außerplanmäßiges Sicherheitsupdate für seine noch unterstützten SharePoint-Systeme freigegeben (oder zumindest dokumentiert, denn das Update kam bereits zum 12. Mai 2026 mit den regulären SharePoint-Updates). Die Information zum Update ist dann zum 26. Mai 2026 aktualisiert worden. Es handelt sich bei CVE-2026-45659 um eine Microsoft SharePoint Remote Code Execution-Schwachstelle.
Mir ist die Information zu CVE-2026-45659 bereits zum gestrigen 26. Mai 2026 auf X untergekommen. Es handelt sich um ein Problem bei der Deserialisierung nicht vertrauenswürdiger Daten in Microsoft Office SharePoint. Die mit einem CVSS 3.1 Score von 8,8 als Important eingestufte Schwachstelle ermöglicht es einem autorisierten Angreifer, Code über ein Netzwerk auszuführen.
Die als "Exploitation Less Likely" eingestufte Sicherheitslücke wurde in den nachfolgend aufgeführten SharePoint Server-Versionen behoben:
- SharePoint Server Subscription Edition, Build-Nummer 16.0.19725.20280
- SharePoint Server 2019, Build-Nummer 16.0.10417.20128
- SharePoint Enterprise Server 2016, Build-Nummer 16.0.5552.1002
Microsoft schreibt, dass die gleiche KB-Nummer sowohl für SharePoint Server 2016 als auch für SharePoint Enterprise Server 2016. Kunden, die eine der beiden Versionen verwenden, sollten das Sicherheitsupdate installieren, um vor dieser Sicherheitslücke geschützt zu sein. Details finden sich im Support-Beitrag zu CVE-2026-45659.
Anmerkung: Für mich erschien es, dass es ein außerplanmäßiges Update gewesen sei. In den Kommentaren wurde aber darauf hingewiesen, dass der Patch bereits zum 12. Mai 2026 bereitgestellt wurde. Wer seinen SharePoint damals gepatcht hat, braucht nichts zu tun.
MVP: 2013 – 2016
Danke für die Info … allerdings muss das wieder einmal so ein Microslop-Ding sein.
Die angeführten Buildnumbers sind eigentlich die Patches vom Microslop Patchdienstag (2. Dienstag im Monat). Der Link zu CVE-2026-45659 listet am Ende auch die Knowledge Base Artikel der Patches auf. Wenn ich diese Links dann öffne, dann werden auch einige CVE-Nummern angeführt, aber die hier erwähnte selbstverständlich nicht.
Da SharePoint es nicht erlaubt, denselben Patch erneut einzuspielen, wird das nix, wenn man die Dateien noch einmal herunterlädt, um sie erneut einzuspielen.
Die Situation wird auch beim SharePoint-Guru Stefan Goßner bereits diskutiert: https://blog.stefan-gossner.com/2026/05/12/sharepoint-security-fixes-released-with-may-2026-pu-and-offered-through-microsoft-update/
Das steht ja auch hier unten im Artikel, dass die Patches dazu am letzten Patchday (12. Mai) veröffentlicht wurden. Also, wer schon gepatcht hat, ist bereits "clean". Hat also nix mit "Slop" zu tun, sondern ist eine ähnliche Strategie wie sie auch Google bei Updates zum Chrome-Browsern auch fährt, nämlich nähere Details zu einer bestimmten Sicherheitslücke erst dann veröffentlichen, wenn ein größerer Teil der Systeme bereits gepatcht und nicht mehr anfällig sind. Das passt jetzt zeitlich ganz gut, weil wir gerade ziemlich genau in der Mitte zwischen vergangenen und nächstem Patchday sind. Das hat zwei Effekte: Das Angriffspotential ist nicht mehr so hoch, weil viele Systeme schon gepatcht sind, und ein Ansporn an diejenigen, die noch nicht gepatcht haben, es spätestens jetzt zu tun.
Für https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45659 gibt es eine Aktualisierung (Revision 1.1):
…"Information published. This CVE was addressed by updates that were released in May 2026, but the CVE was inadvertently omitted from the May 2026 Security Updates. This is an informational change only. Customers who have already installed the May 2026 updates do not need to take any further action."…
Wer also das Mai CU/PU bereits installiert hat, der hat mit diesem Bug kein Problem mehr.
Es wäre nicht so schlecht, wenn das schon in den Releasenotes der Patches gestanden hätte. :-(
Ja, bitte den Titels des Blogeintrags ändern – es gab das besagte out-of-band update nie. Hat man das Sharepointupdate vom letzten Patchday drauf, ist man wie schon bemerkt gegen die neu dokumentierte Lücke gefeit.