Microsoft a publié un nouveau correctif de sécurité pour patcher une faille de sécurité affectant plusieurs versions de SharePoint : CVE-2026-45659. Cette vulnérabilité permet une exécution de code à distance (RCE) sur le serveur SharePoint. Voici l’essentiel à savoir.

SharePoint Server affecté par la CVE-2026-45659

La faille de sécurité CVE-2026-45659 est considérée comme importante et elle a été associée à un score CVSS de 8,8 sur 10. Elle trouve son origine dans un problème de désérialisation de données au sein de la solution SharePoint Server de Microsoft.

D’après Microsoft, cette vulnérabilité permet une exécution de code à distance sur le serveur SharePoint. Si un attaquant veut l’exploiter, il doit être authentifié, comme l’explique Microsoft dans son bulletin de sécurité : “Dans une attaque effectuée via le réseau, un attaquant authentifié, qui possède au minimum des autorisations de membre du site (PR:L), pourrait exécuter du code à distance sur le serveur SharePoint.”

Quelles sont les versions de SharePoint affectées ?

La CVE-2026-45659 affecte plusieurs versions de SharePoint. En effet, Microsoft a mis à disposition des mises à jour de sécurité pour les versions suivantes :

• SharePoint Server Subscription Edition (SE)
• SharePoint Server 2019
• SharePoint Enterprise Server 2016

“Le même numéro de KB s’applique à la fois à SharePoint Server 2016 et à SharePoint Enterprise Server 2016. Les clients utilisant l’une ou l’autre de ces versions doivent installer la mise à jour de sécurité pour se protéger contre cette vulnérabilité.”, peut-on lire.

D’après la firme de Redmond, cette vulnérabilité n’est pas exploitée à l’heure actuelle. Il est d’ailleurs précisé que cette vulnérabilité est “moins susceptible d’être exploitée”, mais bon tout peut aller très vite en sécurité.

Pour rappel, le mois dernier, Microsoft avait déjà dû corriger une faille de type spoofing affectant Microsoft SharePoint Server (CVE-2026-32201) et celle-ci faisait l’objet d’une exploitation active par les cybercriminels.

Les liens vers les mises à jour de sécurité sont indiqués sur cette page du site MSRC.