Microsoft heeft bevestigd dat de kritieke kwetsbaarheid in SharePoint, bekend als CVE-2026-58644, al actief werd misbruikt door aanvallers voordat een beveiligingsupdate beschikbaar was. Dit is ook door het Amerikaanse cyberagentschap CISA bevestigd. De kwetsbaarheid maakt het mogelijk voor een geauthenticeerde aanvaller met minimaal Site Owner-rechten om op afstand code uit te voeren op SharePoint-servers.

SharePoint wordt door organisaties gebruikt voor het delen van documenten, informatie en het opzetten van interne websites. Tijdens de patchdinsdag van juli bracht Microsoft updates uit voor meerdere kwetsbaarheden in SharePoint, waaronder deze deserialisatiekwetsbaarheid met een CVSS-score van 9.8. Aanvankelijk gaf Microsoft aan dat er geen aanwijzingen waren voor misbruik, maar deze informatie bleek onjuist. Details over de aanvallen zijn niet vrijgegeven.

Het Amerikaanse cyberagentschap CISA had eerder al opgeroepen tot extra beveiligingsmaatregelen voor SharePoint-servers vanwege drie actief misbruikte kwetsbaarheden. Hoewel misbruik van CVE-2026-58644 toen nog niet bekend was, werd er al gewaarschuwd vanwege de mogelijkheid tot remote code execution. Na de bevestiging van Microsoft heeft CISA haar advies aangepast en benadrukt dat organisaties de patch voor deze kwetsbaarheid zo snel mogelijk moeten installeren. Amerikaanse overheidsinstanties zijn verplicht dit binnen drie dagen te doen.