Update: Aktive Ausnutzung gemeldet SharePoint RCE-Lücke funktioniert mit einfachem Benutzerkonto

Aktualisiert am 07.07.2026 Von Thomas Joos 2 min Lesedauer

Anbieter zum Thema

EUVD-2026-31518 / CVE-2026-45659 erlaubt einem angemeldeten Nutzer mit einfachem Benutzerkonto die Remotecodeausführung auf SharePoint-Servern. Microsoft bewertet den Deserialisierungsfehler mit CVSS 8.8 und hat Updates für drei Versionen bereitgestellt. Der Eintrag fehlte zunächst im Sammelpaket des Mai-Patchday und wurde am 26.05.2026 nachgereicht.

EUVD-2026-31518 / CVE-2026-45659 erlaubt Remotecodeausführung auf SharePoint-Servern mit einfachem Benutzerkonto. Microsoft hat Updates für drei Versionen bereitgestellt.(Bild: ©  MT.PHOTOSTOCK - stock.adobe.com / KI-generiert)
EUVD-2026-31518 / CVE-2026-45659 erlaubt Remotecodeausführung auf SharePoint-Servern mit einfachem Benutzerkonto. Microsoft hat Updates für drei Versionen bereitgestellt.
(Bild: © MT.PHOTOSTOCK - stock.adobe.com / KI-generiert)

Microsoft hat für mehrere SharePoint-Versionen Sicherheitsupdates veröffentlicht und behebt damit einen Fehler in der Verarbeitung serialisierter Daten. Die Schwachstelle mit der Kennung EUVD-2026-31518 (CVSS-Score 8.8, EPSS-Score* 3.22) gestattet einem angemeldeten Angreifer das Einschleusen und Ausführen von eigenem Code. Den Schweregrad bewertet der Hersteller als wichtig, der zugehörige CVSS-Wert von 8.8 liegt im oberen Bereich der Skala. Als Ursache benennt Microsoft die Deserialisierung nicht vertrauenswürdiger Daten nach CWE-502.

Aktive Angriffe über das Netzwerk mit geringen Rechten

Über manipulierte serialisierte Objekte schleust ein Angreifer eigenen Code ein, den der Server bei der Deserialisierung ausführt. Für den Angriff genügt ein angemeldetes Konto mit Berechtigungen auf Site-Member-Ebene. Ein gewöhnliches Benutzerkonto reicht aus, ein Administratorzugang ist nicht nötig.

Der Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H beschreibt einen netzwerkbasierten Zugriff mit niedriger Komplexität und ohne Zutun eines Anwenders. Vertraulichkeit, Integrität und Verfügbarkeit bewertet Microsoft jeweils als hoch, der Umfang bleibt unverändert und begrenzt die Auswirkung auf die verwundbare Komponente. Während die zeitabhängige Bewertung noch bei 7.7 liegt, da ein offizieller Fix vorliegt und ein Exploit-Code nicht belegt war, hat sich die Situation nun verschärft: Die CISA hat EUVD-2026-31518 / CVE-2026-45659 als aktiv ausgenutzt gemeldet und der CVSS-Score ist auf 8.8 gestiegen.

Betroffene Produktversionen und Patch-Stände

Die Updates erschienen am 21. Mai 2026 und decken die drei unterstützten Editionen ab. Die US-Sicherhetisbehörde hatte den ihr unterliegenden Organisationen bis zum 4. Juli 2026 Zeit gegeben, diese einzuspielen. Pro Version stellt Microsoft einen eigenen Patch über die Update-Kanäle bereit.

  • SharePoint Server Subscription Edition: Build 16.0.19725.20280 über das Update KB5002863
  • SharePoint Server 2019: Build 16.0.10417.20128 über das Update KB5002870
  • SharePoint Enterprise Server 2016: Build 16.0.5552.1002 über das Update KB5002868

Für SharePoint Server 2016 und SharePoint Enterprise Server 2016 gilt dieselbe KB-Nummer. Anwender beider Varianten installieren das Update KB5002868. Den Fund meldete der Sicherheitsforscher MEOW an Microsoft. Administratoren sollten den passenden Patch auf allen betroffenen Systemen einspielen.

Nachgereichte Dokumentation im Mai-Update

Microsoft hatte die Schwachstelle bereits mit dem Mai-Update geschlossen, den Eintrag jedoch aus dem Sammelpaket für Mai 2026 ausgespart. Die Nachdokumentation vom 26. Mai 2026 ändert nichts am Patch-Stand. Systeme mit installiertem Mai-Update sind geschützt und benötigen keinen weiteren Eingriff.

Fazit

Microsoft hatte die Schwachstelle zuerst mit einer weniger wahrscheinlichen Ausnutzung kategorisiert. Da EUVD-2026-31518 / CVE-2026-32201 nun mittlerweile aktiv ausgenutzt wird und somit in irgendeiner Form ein Exploit vorliegt, verschärft sich die Bedrohungslage für SharePoint-Server, die ohnehin beliebte Angriffsziele sind. Schon im Vormonat schloss Microsoft die Spoofing-Sicherheitlücke EUVD-2026-22587 / CVE-2026-32201 mit einem CVSS-Wert von 6.5, deren aktive Ausnutzung dokumentiert war. Mittlerweile liegt ihr EPSS-Score bei 24.17. Der bereitstehende Fix für die akutelle SharePoint-Schwachstelle schließt einen Angriffsweg zur Remotecodeausführung, der angemeldeten Nutzern mit geringen Berechtigungen offensteht.

(ID:50859707)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung