文章总结： 微软修复了SharePoint中一个重要的远程代码执行漏洞CVE-2026-45659（CVSS8.8），该漏洞允许已认证的攻击者通过网络反序列化不可信数据执行代码，影响多个版本包括SubscriptionEdition、2019和2016。尽管利用可能性较低，但鉴于SharePoint漏洞常被武器化，用户应立即应用更新以获得防护。 综合评分： 78 文章分类： 漏洞分析,漏洞预警,应急响应,威胁情报,安全运营

微软修复影响 SharePoint 多个版本的 RCE 漏洞

Ravie Lakshmanan Ravie Lakshmanan

代码卫士

2026年5月27日 11:49 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

微软已发布更新，修复了一个影响 SharePoint 的“重要”级别的远程代码执行 (RCE) 漏洞CVE-2026-45659（CVSS评分8.8），可被攻击者在无需满足任何特定条件的情况下利用。

微软在上周发布的安全公告中表示：“Microsoft Office SharePoint 中对不可信数据的反序列化，使得已授权的攻击者能够通过网络执行代码。”微软指出，该漏洞可被任何已通过身份验证的攻击者触发，且无需管理员或其它高级权限。微软表示，“在网络攻击场景中，拥有至少‘网站成员’权限（PR:L）的已认证攻击者，可以在 SharePoint 服务器上远程执行代码。”

微软致谢了发现与报告该漏洞的研究员 MEOW。该公司已为如下版本发布更新：

• SharePoint Server Subscription Edition
• SharePoint Server 2019
• SharePoint Enterprise Server 2016

上个月，微软还为影响 Microsoft SharePoint Server 的一个欺骗漏洞（CVE-2026-32201，CVSS 评分6.5）发布修复程序，并表示该漏洞已遭在野利用。

尽管微软指出 CVE-2026-45659 被利用的可能性较低，但用户仍需应用必要的更新以获得最佳防护，尤其是考虑到多年来该协作平台中的多个漏洞已被攻击者反复武器化利用的情况。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

微软紧急修复正遭利用的 SharePoint RCE 0day漏洞

CISA称微软 SharePoint RCE 漏洞已遭在野利用

新瓶装旧酒：微软修复3个月后，SharePoint RCE 漏洞重现

微软将本地版Exchange、SharePoint和Skype 纳入漏洞奖励计划

比 Windows DNS 蠕虫漏洞更严重！SharePoint 反序列化RCE漏洞详情已发布，速修复

原文链接

https://thehackernews.com/2026/05/trapdoor-supply-chain-attack-spreads.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ravie Lakshmanan Ravie Lakshmanan《微软修复影响 SharePoint 多个版本的 RCE 漏洞》