amnsecurity/CVE-2026-45659-SharePoint-RCE
GitHub: amnsecurity/CVE-2026-45659-SharePoint-RCE
针对 Microsoft SharePoint Server 不安全反序列化漏洞(CVE-2026-45659)的远程代码执行 PoC 利用工具与漏洞分析项目。
Stars: 1 | Forks: 0
# ─── CVE-2026-45659 ───
# 🏴 AMN SECURITY 🏴 ### 网络安全研究中心 | Cyber Security Research Center
# 🏴 AMN SECURITY 🏴 ### 网络安全研究中心 | Cyber Security Research Center
# ⚠️ Microsoft SharePoint Server 命令执行漏洞
### CVE-2026-45659 | CVSS 8.8 | 高危
### 📋 摘要
**Microsoft SharePoint Server 2019/2022 和 Subscription Edition** 中的一个安全漏洞,允许具有低权限(Site Member)的已认证用户在服务器上执行任意命令(RCE)。该漏洞利用了 `Microsoft.SharePoint.Library` 库中 `LosFormatter.Deserialize` 处理器内不安全的反序列化机制。
### 🔍 漏洞详情
| 项目 | 详情 |
|--------|----------|
| **CVE** | CVE-2026-45659 |
| **CVSS** | 8.8 (High) |
| **类型** | Deserialization RCE |
| **标准** | CWE-502 (Deserialization of Untrusted Data) |
| **所需权限** | Site Member (普通用户) |
| **产品** | Microsoft SharePoint Server |
#### 受影响版本
| 产品 | 状态 |
|--------|--------|
| SharePoint Server 2019 | ✅ 受影响 |
| SharePoint Server 2022 | ✅ 受影响 |
| SharePoint Subscription Edition | ✅ 受影响 (2026 年 5 月之前) |
### 💥 技术原理
```
SPListItem.Update()
│
▼
LosFormatter.Deserialize() ← بيانات غير آمنة
│
▼
ObjectStateFormatter ← لا يوجد filtering
│
▼
إنشاء كائن ضار → تنفيذ أوامر
```
`Microsoft.SharePoint.Library` 中的易受攻击代码路径通过列表项的 `Update()` 函数,对攻击者控制的数据使用了 `LosFormatter.Deserialize`。
### 🧪 工具使用
```
# 执行命令
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
-u user@domain.com -p Pass123 \
-s "SiteName/ListName" -c "whoami /all"
# 交互式 shell 模式
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
-u user@domain.com -p Pass123 \
-s "SiteName/ListName" --shell
# 通过代理
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
-u user@domain.com -p Pass123 \
-s "SiteName/ListName" -c "ipconfig" --proxy http://127.0.0.1:8080
```
#### 前提条件
- **Site Member** 或同等权限
- 包含至少一个可修改项的目标列表
- 通过 HTTPS 访问 SharePoint
### 🛡️ 修复措施
1. **应用 Microsoft 发布的 2026 年 5 月更新**
2. **将用户权限限制**到最低限度
3. **监控异常的 SPListItem.Update()** 调用
4. **在 SharePoint 中启用 Advanced Threat Protection**
### 📚 参考
- **NVD**: https://nvd.nist.gov/vuln/detail/CVE-2026-45659
- **Microsoft 公告**: 2026 年 5 月安全更新
- **AMN SECURITY 研究**: SharePoint Deserialization Analysis
# ⚠️ Microsoft SharePoint Server Deserialization RCE
### CVE-2026-45659 | CVSS 8.8 | 高危
### 📋 摘要
**Microsoft SharePoint Server 2019/2022 和 Subscription Edition** 中存在一个严重的远程代码执行漏洞。经过身份验证的低权限用户可以通过 `SPListItem` 处理路径中不安全的反序列化实现完全的 RCE。
### 🔍 漏洞详情
| 属性 | 值 |
|----------|-------|
| **CVE** | CVE-2026-45659 |
| **CVSS** | 8.8 (High) |
| **CWE** | CWE-502 (Unsafe Deserialization) |
| **所需权限** | Site Member (低权限) |
| **攻击向量** | Network |
| **用户交互** | ❌ 无 |
| **产品** | SharePoint Server 2019/2022/SubEd |
#### 受影响产品
| 产品 | 状态 |
|---------|--------|
| SharePoint Server 2019 | ✅ 受影响 |
| SharePoint Server 2022 | ✅ 受影响 |
| SharePoint Subscription Edition | ✅ 受影响 (2026 年 5 月之前) |
### 💥 根本原因
漏洞存在于 `Microsoft.SharePoint.Library` 中,该库通过具有自定义字段类型的列表项的 `Update()` 方法对攻击者控制的数据调用 `LosFormatter.Deserialize`。没有实施适当的类型过滤或 ObjectStateFormatter 限制。
### 🧪 使用说明
```
# 执行命令
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
-u user@domain.com -p Pass123 \
-s "SiteName/ListName" -c "whoami /all"
# 交互式 shell 模式
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
-u user@domain.com -p Pass123 \
-s "SiteName/ListName" --shell
```
### 🛡️ 修复措施
1. **应用 Microsoft 2026 年 5 月安全更新**
2. **将用户权限限制**到所需的最低限度
3. **监控异常的 SPListItem.Update()** 调用
4. **启用 Advanced Threat Protection**
### 📚 参考
- **NVD**: https://nvd.nist.gov/vuln/detail/CVE-2026-45659
- **Microsoft 更新**: 2026 年 5 月安全补丁
- **AMN SECURITY 研究**: SharePoint Deserialization RCE
### ⚖️ 免责声明
本工具仅供**授权的安全测试和教育目的**使用。未经授权的使用是非法的。作者和 AMN SECURITY 对滥用行为不承担任何责任。
**🏴 AMN SECURITY** — 企业进攻性安全
标签:CISA项目, Microsoft SharePoint, RCE, 反序列化漏洞, 漏洞分析, 漏洞复现, 路径探测, 逆向工具