CISA Adds Exploited SharePoint RCE Zero-Day CVE-2026-58644 to KEV

1 minute de lecture

Mis à jour :

Urgence cybersécurité : Vulnérabilité critique RCE dans Microsoft SharePoint

La CISA a intégré la vulnérabilité CVE-2026-58644 à son catalogue des vulnérabilités exploitées (KEV) en raison de son utilisation active comme “zero-day” avant la diffusion de correctifs. Cette faille permet à un attaquant authentifié (niveau Site Owner) d’exécuter du code arbitraire à distance sur les serveurs SharePoint vulnérables.

Points clés :

  • Gravité : Score CVSS de 9.8 (critique).
  • Nature : Désérialisation de données non fiables permettant une exécution de code à distance (RCE).
  • Versions impactées : SharePoint Server Subscription Edition, 2019 et 2016.
  • Contexte : Exploitée activement, souvent combinée à d’autres failles (ex: CVE-2026-32201, CVE-2026-45659, CVE-2026-56164) pour le vol de clés machine IIS et l’établissement de persistance.

Recommandations :

  • Mise à jour immédiate : Appliquer les correctifs du Patch Tuesday de juillet 2026.
  • Sécurisation technique : Activer l’intégration de l’interface d’analyse anti-malware (AMSI) pour chaque application web.
  • Nettoyage et rotation : Rechercher des artéfacts d’intrusion avant de procéder à une rotation des clés machine IIS.
  • Durcissement réseau :
    • Ne pas exposer SharePoint directement sur Internet.
    • Bloquer l’accès externe à l’administration centrale.
    • Restreindre les communications entre les serveurs de la ferme et les bases de données aux systèmes strictement nécessaires.
  • Surveillance : Mettre en place des mécanismes de journalisation spécifiques pour détecter les tentatives d’exploitation.

Source