Microsoft hat am 26. Mai eine Lücke gepatcht, die du nicht ignorieren solltest, wenn du SharePoint On-Premises betreibst: CVE-2026-45659. Eine Deserialisierungs-Lücke, die Remote Code Execution erlaubt — und das mit minimalen Voraussetzungen.
SCHOCK: ein SITE-MEMBER-ACCOUNT reicht
Klassischer Microsoft-Bug: Untrusted Data wird deserialisiert, ohne sauber zu prüfen, was da reinkommt. Das Resultat: jeder authentifizierte Angreifer mit Site-Member-Berechtigung kann Code remote ausführen — keine Admin-Rechte, keine User-Interaktion nötig.
Was heisst Site-Member? Der minimal autorisierte Nutzer in deiner SharePoint-Site. In den meisten Firmen sind das hunderte Mitarbeiter. Wenn EIN Account kompromittiert ist, hat der Angreifer Root auf dem SharePoint-Server.
CVSS 8.8: das ist KEIN ZAHLENSPIEL
Die Lücke ist mit CVSS 8.8 bewertet, low-complexity. Microsoft selbst hat sie zunächst als less likely to be exploited eingestuft — aber bereits am Tag des Patches haben Sicherheitsforscher einen Proof-of-Concept auf GitHub veröffentlicht. Der Exploit lässt sich in einen einzigen HTTP-Request giessen.
Und: Der CVE wurde aus Versehen aus der offiziellen Mai-2026-Security-Updates-Übersicht weggelassen. Wer nur den offiziellen Patch-Tuesday-Bericht liest, übersieht ihn glatt.
BETROFFENE VERSIONEN
- SharePoint Server Subscription Edition — alle Builds vor dem Mai-2026-Update
- SharePoint Server 2019 — alle Builds vor dem Mai-2026-Update
- SharePoint Enterprise Server 2016 — separate KB für die Enterprise-Server-Variante
SharePoint Online (Microsoft 365) ist NICHT betroffen — Microsoft patcht den Service serverseitig.
SO patchst du in 15 MINUTEN
- Patch-Status prüfen: Zentrale Verwaltung → Upgrade and Migration → Check product and patch installation status.
- KB-Artikel laden: Microsoft hat KBs für jede SharePoint-Version. Für Enterprise Server 2016 ist ein separater Enterprise-Server-KB nötig — den meisten ist das nicht klar.
- Wartungsfenster, Backup, Patch einspielen. SharePoint Config-Wizard nach dem Update laufen lassen.
- Logs prüfen: Suche nach ungewöhnlichen POST-Requests an die SharePoint-API, vor allem mit serialisierten Payloads.
EXTRA-TIPP: WAF-Regel als Notbremse
Falls du nicht sofort patchen kannst: Eine WAF-Regel, die BinaryFormatter-Pattern in POST-Bodies blockiert, fängt einen Grossteil der Exploits ab. Cloudflare, F5 und Fortinet haben in den Stunden nach dem PoC-Release entsprechende virtual-patch-Regeln rausgeschoben.
FAZIT: PATCH MUSS NOCH HEUTE LAUFEN
SharePoint On-Prem ist 2026 immer noch in tausenden Firmen produktiv. Eine Site-Member-Lücke mit RCE und PoC im Netz ist eine Einladung an Ransomware-Crews. Wenn du auf SharePoint sitzt: Patch heute, prüfe morgen die Logs.
Häufige Fragen
Welche SharePoint-Versionen sind betroffen?
Wie merke ich, ob mein System verwundbar ist?
Wie behebe ich das Problem konkret?
Gab es schon aktive Angriffe?
Quellen: helpnetsecurity.com, thehackernews.com, radar.offseq.com.