Lỗ hổng CVE-2026-45659 nguy hiểm trên SharePoint Server

27/05/2026
3 mins read
Lỗ hổng CVE-2026-45659 nguy hiểm trên SharePoint Server

Lỗ hổng CVE trong SharePoint Server vừa được Microsoft công bố có thể cho phép kẻ tấn công đã xác thực thực thi mã từ xa trên nhiều phiên bản nền tảng. Lỗ hổng này được theo dõi với mã CVE-2026-45659, phát hành ngày 21/05/2026, và ảnh hưởng trực tiếp đến các triển khai SharePoint Server on-premises.

Nội dung
Lỗ hổng CVE-2026-45659 Trong SharePoint Server
Phân Tích Kỹ Thuật Về Mức Độ Rủi Ro Bảo Mật
Thông Số Kỹ Thuật Nổi Bật
Cập Nhật Bản Vá Cho Lỗ Hổng CVE
Hành Động Khuyến Nghị
Theo Dõi Phát Hiện Tấn Công Và Dấu Hiệu Khai Thác
Điểm Cần Chú Ý Trong Giám Sát
IOC
Trạng Thái Ảnh Hưởng Hệ Thống
Cập Nhật Tham Chiếu Kỹ Thuật

Lỗ hổng CVE-2026-45659 Trong SharePoint Server

Điểm yếu nằm ở cơ chế deserialization of untrusted data trong Microsoft Office SharePoint. Khi bị khai thác, lỗ hổng CVE này cho phép một kẻ tấn công qua mạng thực thi mã tùy ý trên máy chủ bị ảnh hưởng.

Microsoft đánh giá mức độ nghiêm trọng là Important và trạng thái khai thác hiện tại là Exploitation Less Likely. Tuy nhiên, bề mặt tấn công mạng có độ phức tạp thấp khiến đây vẫn là một cảnh báo CVE cần được xử lý ngay trong chu kỳ vá lỗi gần nhất.

Thông tin tham chiếu chính thức của Microsoft có thể xem tại MSRC Update Guide cho CVE-2026-45659.

Phân Tích Kỹ Thuật Về Mức Độ Rủi Ro Bảo Mật

Điều đáng chú ý của lỗ hổng CVE này là rào cản khai thác thấp. Bất kỳ người dùng đã xác thực nào chỉ cần quyền ở mức Site Member cũng có thể kích hoạt lỗi. Không cần quyền quản trị hay đặc quyền nâng cao.

Vector tấn công là AV:N với độ phức tạp tấn công AC:L, cho thấy kẻ tấn công không cần hiểu biết chuyên sâu về hệ thống đích và có thể lặp lại việc khai thác từ Internet. Đây là đặc điểm khiến lỗ hổng CVE này có thể bị lợi dụng nhanh chóng nếu mã khai thác được công khai.

Trong bối cảnh đó, các tổ chức đang dùng SharePoint cho cộng tác nội bộ, quản lý tài liệu hoặc cổng truy cập bên ngoài sẽ có rủi ro bảo mật cao hơn nếu trì hoãn cập nhật bản vá.

Thông Số Kỹ Thuật Nổi Bật

  • CVE: CVE-2026-45659
  • Loại lỗi: Deserialization of untrusted data
  • Tác động: Remote Code Execution
  • Phạm vi ảnh hưởng: SharePoint Server on-premises
  • Vector tấn công: Network-based (AV:N)
  • Độ phức tạp: Low (AC:L)
  • Điều kiện khai thác: Người dùng đã xác thực, quyền Site Member
  • Trạng thái khai thác: Chưa ghi nhận công khai, chưa xác nhận bị khai thác rộng rãi

Cập Nhật Bản Vá Cho Lỗ Hổng CVE

Microsoft đã phát hành bản vá bảo mật cho toàn bộ các phiên bản SharePoint Server bị ảnh hưởng. Với đặc tính có thể thực thi mã từ xa, đây là trường hợp cần ưu tiên cập nhật trong cửa sổ bảo trì gần nhất.

Nếu hệ thống đang vận hành SharePoint cho các luồng làm việc nội bộ, tài liệu chia sẻ hoặc cổng đối tác, việc chậm vá sẽ làm tăng khả năng hệ thống bị tấn công khi PoC hoặc mã khai thác xuất hiện.

Trong quá trình xử lý lỗ hổng CVE này, đội ngũ an toàn thông tin nên xác minh đầy đủ phiên bản đang chạy, đối chiếu với advisory của Microsoft và triển khai update vá lỗi ngay khi khả dụng.

Hành Động Khuyến Nghị

  • Kiểm tra tất cả máy chủ SharePoint Server on-premises trong hạ tầng.
  • Đối chiếu phiên bản với advisory chính thức của Microsoft.
  • Triển khai cập nhật bản vá cho mọi hệ thống bị ảnh hưởng.
  • Rà soát tài khoản có quyền Site Member và giảm thiểu quyền không cần thiết.
  • Theo dõi log ứng dụng và log xác thực để phát hiện dấu hiệu khai thác.

Theo Dõi Phát Hiện Tấn Công Và Dấu Hiệu Khai Thác

Microsoft hiện xác nhận chưa có ghi nhận về việc lỗ hổng này bị công bố công khai hoặc bị khai thác tích cực. Tuy nhiên, do lỗ hổng CVE có bề mặt tấn công mạng trực tiếp và độ phức tạp thấp, các đội phát hiện xâm nhập nên chuẩn bị kịch bản giám sát sớm.

Khi xuất hiện exploit hoặc proof-of-concept, rủi ro sẽ tăng nhanh nếu hệ thống chưa được vá. Trong thực tế, các lỗ hổng deserialization thường dẫn đến remote code execution, làm tăng khả năng kiểm soát máy chủ từ xa.

Điểm Cần Chú Ý Trong Giám Sát

  • Yêu cầu xác thực bất thường đến các endpoint SharePoint.
  • Lưu lượng mạng tới máy chủ SharePoint từ nguồn không quen thuộc.
  • Hành vi gọi tiến trình lạ hoặc thực thi lệnh bất thường trên server.
  • Thay đổi đột ngột trong log ứng dụng liên quan đến serialization/deserialization.

IOC

Hiện nội dung gốc không cung cấp IOC cụ thể cho lỗ hổng CVE này, do đó chưa thể trích xuất danh sách chỉ dấu xâm nhập dạng IP, domain, hash hoặc filename.

Trạng Thái Ảnh Hưởng Hệ Thống

Lỗ hổng CVE-2026-45659 ảnh hưởng trực tiếp đến máy chủ SharePoint tự triển khai. Nếu bị khai thác thành công, kẻ tấn công có thể thực thi mã tùy ý trên máy chủ, từ đó mở đường cho xâm nhập trái phép, leo thang tác động hoặc thao túng dữ liệu nội bộ.

Vì lỗ hổng này yêu cầu người dùng đã xác thực nhưng chỉ cần quyền tối thiểu, các môi trường có nhiều tài khoản nội bộ hoặc cổng chia sẻ với đối tác cần được ưu tiên kiểm tra. Đây là một rủi ro an toàn thông tin đáng kể ngay cả khi chưa xuất hiện khai thác công khai.

Cập Nhật Tham Chiếu Kỹ Thuật

Thông tin chính thức về lỗ hổng CVE có thể theo dõi tại Microsoft Security Response Center để kiểm tra danh sách phiên bản ảnh hưởng, trạng thái vá lỗi và các hướng dẫn bổ sung. Khi triển khai bản vá bảo mật, cần xác minh sau cập nhật để đảm bảo máy chủ không còn nằm trong phạm vi bị ảnh hưởng.

Đối với các hệ thống SharePoint phục vụ dữ liệu quan trọng, việc trì hoãn xử lý cảnh báo CVE này có thể dẫn đến hệ thống bị xâm nhập nếu mã khai thác được công bố rộng rãi. Các đội vận hành nên xem đây là một sự kiện ưu tiên trong quy trình an toàn thông tin.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45659