De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de recent gepatchte kwetsbaarheid CVE-2026-58644 in Microsoft SharePoint Server toegevoegd aan haar Known Exploited Vulnerabilities (KEV) catalogus. Deze kritieke kwetsbaarheid met een CVSS-score van 9.8 betreft een deserialisatieprobleem van niet-vertrouwde data, waardoor een onbevoegde aanvaller willekeurige code kan uitvoeren. Federale instanties binnen de Federal Civilian Executive Branch (FCEB) moeten de patch uiterlijk 19 juli 2026 toepassen.

Volgens Microsoft kan een aanvaller die ten minste Site Owner rechten heeft, via een netwerkgebaseerde aanval op afstand code injecteren en uitvoeren op de SharePoint Server. De kwetsbaarheid is via internet te misbruiken en de complexiteit van de aanval is laag, omdat er weinig systeemkennis nodig is en de aanval herhaalbaar is met de payload. De getroffen versies zijn Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019 en Microsoft SharePoint Enterprise Server 2016. De patches zijn uitgebracht tijdens de Patch Tuesday updates van 14 juli 2026. Microsoft heeft haar bulletin aangepast om te bevestigen dat CVE-2026-58644 al actief is misbruikt in het wild, wat betekent dat het een zero-day exploit betrof voordat de fixes beschikbaar waren.

De toevoeging aan de KEV-catalogus volgt op waarschuwingen van CISA over actieve exploitatie van meerdere SharePoint Server kwetsbaarheden, waaronder CVE-2026-32201, CVE-2026-45659, CVE-2026-56164 en CVE-2026-58644. Deze kwetsbaarheden kunnen aanvallers ongeautoriseerde toegang geven tot on-premises SharePoint-omgevingen. CISA benadrukt dat alle ondersteunde on-premises SharePoint Server versies kwetsbaar zijn en dat de aanvallen onder meer remote code execution en post-exploitatieactiviteiten omvatten, zoals het stelen van IIS machine keys en het toepassen van deserialisatietechnieken om persistentie te verkrijgen en malware te installeren.

Om de dreiging te beperken adviseert CISA het toepassen van de laatste patches en updates, het controleren van een succesvolle installatie en het verkorten van patchcycli waar mogelijk. Daarnaast is het belangrijk om de Antimalware Scan Interface (AMSI) integratie voor elke SharePoint webapplicatie te activeren, inbraaksporen te verwijderen voordat IIS machine keys worden geroteerd, en aangepaste loggingmechanismen in te stellen om exploitatie te detecteren en monitoren. Verder wordt geadviseerd SharePoint Servers niet onnodig direct aan het internet bloot te stellen, externe toegang tot SharePoint Central Administration te blokkeren, communicatie binnen de farm en met databases te beperken tot noodzakelijke systemen, en de security-hardening richtlijnen van Microsoft te volgen voor poorten, services en Web.config instellingen.

Naast de SharePoint kwetsbaarheid heeft CISA ook twee kritieke beveiligingslekken in Fortinet FortiSandbox (CVE-2026-25089 en CVE-2026-39808) aan de KEV-catalogus toegevoegd na meldingen van actieve exploitatie. Federale instanties dienen hun systemen uiterlijk 19 juli 2026 bij te werken naar de nieuwste ondersteunde versies.