SharePoint‑Schwachstelle erlaubt Remote‑Code‑Ausführung – Patch umgehend einspielen

LGR Reutlingen – 01 Juni 2026 | Die aktuelle SharePoint‑Schwachstelle erlaubt Remote‑Code‑Ausführung – Patch umgehend einspielen ist ein Warnsignal für Unternehmen, die Microsoft SharePoint im produktiven Einsatz haben. Eine fehlerhafte Deserialisierung ermöglicht es Angreifern mit einem einfachen Site‑Member‑Konto, schädlichen Code auf dem Server auszuführen. Microsoft hat bereits Sicherheitsupdates veröffentlicht, doch die Dringlichkeit bleibt hoch, weil die Ausnutzungsbedingungen kaum einschränkend sind.

Die Lücke, die unter der Kennung CVE‑2026‑45659 geführt wird, erreicht im CVSS‑Score 8,8 – ein klares Indiz für ein kritisches Risiko. Technisch gesehen verarbeitet SharePoint Daten, die aus nicht vertrauenswürdigen Quellen stammen, ohne ausreichende Validierung. Das Ergebnis ist eine klassische Deserialisierungsschwachstelle, bei der präparierte Payloads in die Server‑Umgebung eingeschleust werden können.

SharePoint‑Schwachstelle erlaubt Remote‑Code‑Ausführung – Patch umgehend einspielen: Warum jetzt handeln?

Ein Angreifer benötigt lediglich Netzwerkzugriff auf den SharePoint‑Server und ein Konto mit den niedrigsten Berechtigungen, die für den Zugriff auf eine Site ausreichen – in den meisten Fällen das Rollen‑Level “Site Member”. Sobald diese beiden Voraussetzungen erfüllt sind, kann der Angreifer beliebigen .NET‑Code ausführen, was zu Datenexfiltration, Hintertüren oder sogar zur vollständigen Übernahme des gesamten Intranets führen kann.

Die betroffenen Produkte umfassen die SharePoint Server Subscription Edition, SharePoint Server 2019 und die Enterprise‑Variante von SharePoint Server 2016. Für alle drei Versionen stehen bereits Patches bereit, die die fehlerhafte Deserialisierung abschalten und die Eingabe streng prüfen.

Die Entdeckung geht zurück auf einen unabhängigen Sicherheitsforscher, der unter dem Pseudonym MEOW arbeitet. Nach der Meldung an Microsoft erfolgte ein rascher Entwicklungszyklus, und die Updates wurden im Rahmen des regulären Patch‑Tuesday veröffentlicht. Trotz der schnellen Reaktion stuft Microsoft die aktive Ausnutzung derzeit als wenig wahrscheinlich ein – ein Urteil, das angesichts der Historie von SharePoint‑Angriffen mit Vorsicht zu genießen ist.

Im April hat die US‑Behörde CISA die verwandte Schwachstelle CVE‑2026‑32201 in ihren KEV‑Katalog (Known Exploited Vulnerabilities) aufgenommen. Das zeigt, dass Angreifer das SharePoint‑Ökosystem nach wie vor als lukratives Ziel ansehen. Unternehmen, die bislang auf das nächste reguläre Update warten, setzen sich einem unnötigen Risiko aus.

• Netzwerkzugriff auf den SharePoint‑Server
• Ein SharePoint‑Konto mit mindestens der Rolle “Site Member”

Die beiden Punkte lassen sich in den meisten Unternehmensnetzwerken leicht realisieren – sei es durch interne Benutzer, die über VPN verbunden sind, oder durch kompromittierte Dienstkonten. Deshalb ist die Empfehlung eindeutig: Patch jetzt einspielen, nicht erst zum nächsten regulären Update‑Zyklus.

Für IT‑Verantwortliche bedeutet das, die Update‑Richtlinien zu überprüfen und die neue Sicherheitsupdates‑Serie sofort zu testen. In einer typischen Unternehmensumgebung sollten die Schritte wie folgt aussehen:

1. Inventarisierung aller SharePoint‑Instanzen und ihrer jeweiligen Versionen.
2. Download der entsprechenden Sicherheitsupdates von den offiziellen Microsoft‑Portalen.
3. Durchführung von Tests in einer isolierten Staging‑Umgebung, um mögliche Kompatibilitätsprobleme zu identifizieren.
4. Planung eines Wartungsfensters, das möglichst geringe Auswirkungen auf die Nutzer hat.
5. Rollout des Patches und anschließende Validierung, dass die Schwachstelle geschlossen ist.

Ein weiterer Aspekt, der häufig übersehen wird, ist die Notwendigkeit, die Berechtigungsstruktur zu überprüfen. Viele Unternehmen vergeben breitere Rechte als nötig, was die Angriffsfläche vergrößert. Durch das Prinzip “Least Privilege” lässt sich das Risiko zusätzlich mindern.

Aus Sicht der Wirtschaftsinformatik ist die Situation ein gutes Beispiel dafür, wie Sicherheitslücken nicht nur technische, sondern auch organisatorische Konsequenzen haben. Ein erfolgreicher Exploit könnte nicht nur zu Datenverlust führen, sondern auch zu erheblichen Reputationsschäden und regulatorischen Sanktionen, insbesondere wenn personenbezogene Daten betroffen sind.

Zusammengefasst lässt sich sagen, dass die SharePoint‑Schwachstelle ein klassisches Szenario für eine schnelle, koordinierte Reaktion darstellt. Unternehmen, die ihre Patch‑Management‑Prozesse bereits automatisiert haben, können das Update innerhalb weniger Stunden ausrollen. Andere sollten die Dringlichkeit nutzen, um ihre Prozesse zu modernisieren.

Die Botschaft ist klar: Die Sicherheitslücke ist bekannt, die Gegenmaßnahme ist verfügbar – das Zögern ist das eigentliche Risiko.