Share
## https://sploitus.com/exploit?id=BC37BB5F-8EDD-5F24-ACEA-32AE9878CF96
# ─── CVE-2026-45659 ───








# 🏴 AMN SECURITY 🏴

### مركز أبحاث الأمن السيبراني | Cyber Security Research Center

---











# ⚠️ ثغرة تنفيذ الأوامر في Microsoft SharePoint Server
### CVE-2026-45659 | CVSS 8.8 | عالية الخطورة

---

### 📋 الملخص التنفيذي

ثغرة أمنية في **Microsoft SharePoint Server 2019/2022 و Subscription Edition** تسمح لمستخدم مُصادق بصلاحيات منخفضة (Site Member) بتنفيذ أوامر عشوائية على الخادم (RCE). تستغل الثغرة آلية إلغاء التسلسل غير الآمنة (Unsafe Deserialization) في معالج `LosFormatter.Deserialize` داخل مكتبة `Microsoft.SharePoint.Library`.

---

### 🔍 تفاصيل الثغرة

| العنصر | التفاصيل |
|--------|----------|
| **CVE** | CVE-2026-45659 |
| **CVSS** | 8.8 (High) |
| **النوع** | Deserialization RCE |
| **المعيار** |  CWE-502 (Deserialization of Untrusted Data) |
| **الصلاحية المطلوبة** | Site Member (مستخدم عادي) |
| **المنتج** | Microsoft SharePoint Server |

#### الإصدارات المتأثرة

| المنتج | الحالة |
|--------|--------|
| SharePoint Server 2019 | ✅ متأثر |
| SharePoint Server 2022 | ✅ متأثر |
| SharePoint Subscription Edition | ✅ متأثر (ما قبل مايو 2026) |

---

### 💥 الجذر التقني

```
SPListItem.Update()
       │
       ▼
  LosFormatter.Deserialize() ← بيانات غير آمنة
       │
       ▼
  ObjectStateFormatter ← لا يوجد filtering
       │
       ▼
  إنشاء كائن ضار → تنفيذ أوامر
```

مسار الكود الضعيف في `Microsoft.SharePoint.Library` يستخدم `LosFormatter.Deserialize` على بيانات يتحكم بها المهاجم من خلال دالة `Update()` لعناصر القوائم.

---

### 🧪 استخدام الأداة

```bash
# تنفيذ أمر
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
    -u user@domain.com -p Pass123 \
    -s "SiteName/ListName" -c "whoami /all"

# وضع شيل تفاعلي
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
    -u user@domain.com -p Pass123 \
    -s "SiteName/ListName" --shell

# عبر بروكسي
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
    -u user@domain.com -p Pass123 \
    -s "SiteName/ListName" -c "ipconfig" --proxy http://127.0.0.1:8080
```

#### المتطلبات

- صلاحية **Site Member** أو ما يعادلها
- قائمة مستهدفة تحتوي على عنصر واحد قابل للتعديل على الأقل
- الوصول إلى SharePoint عبر HTTPS

---

### 🛡️ الإجراءات العلاجية

1. **تطبيق تحديث مايو 2026** من Microsoft
2. **تقييد صلاحيات المستخدمين** إلى الحد الأدنى
3. **مراقبة استدعاءات SPListItem.Update()** غير الطبيعية
4. **تفعيل Advanced Threat Protection** في SharePoint

---

### 📚 المراجع

- **NVD**: https://nvd.nist.gov/vuln/detail/CVE-2026-45659
- **Microsoft Advisory**: تحديث مايو 2026 الأمني
- **AMN SECURITY Research**: SharePoint Deserialization Analysis

---

### 👥 فريق AMN SECURITY

| العضو | التخصص |
|-------|--------|
| **AMN Research Team** | اكتشاف الثغرة وتحليلها |
| **AMN Exploitation Team** | تطوير الإكسبلويت |
| **AMN Defense Team** | الإجراءات العلاجية |

---









---

# ⚠️ Microsoft SharePoint Server Deserialization RCE
### CVE-2026-45659 | CVSS 8.8 | High Severity

---

### 📋 Executive Summary

A critical remote code execution vulnerability in **Microsoft SharePoint Server 2019/2022 and Subscription Edition**. An authenticated low-privileged user (Site Member) can achieve full RCE via unsafe deserialization in the `SPListItem` handling path.

---

### 🔍 Vulnerability Details

| Property | Value |
|----------|-------|
| **CVE** | CVE-2026-45659 |
| **CVSS** | 8.8 (High) |
| **CWE** | CWE-502 (Unsafe Deserialization) |
| **Required Privilege** | Site Member (low-priv) |
| **Attack Vector** | Network |
| **User Interaction** | ❌ None |
| **Product** | SharePoint Server 2019/2022/SubEd |

#### Affected Products

| Product | Status |
|---------|--------|
| SharePoint Server 2019 | ✅ Affected |
| SharePoint Server 2022 | ✅ Affected |
| SharePoint Subscription Edition | ✅ Affected (pre-May 2026) |

---

### 💥 Root Cause

The vulnerability exists in `Microsoft.SharePoint.Library` where `LosFormatter.Deserialize` is called on attacker-controlled data through the `Update()` method of list items with custom field types. No proper type filtering or ObjectStateFormatter restrictions are enforced.

---

### 🧪 Usage

```bash
# Execute command
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
    -u user@domain.com -p Pass123 \
    -s "SiteName/ListName" -c "whoami /all"

# Interactive shell mode
python3 CVE-2026-45659.py -t https://sharepoint.target.com \
    -u user@domain.com -p Pass123 \
    -s "SiteName/ListName" --shell
```

---

### 🛡️ Remediation

1. **Apply Microsoft May 2026 security update**
2. **Restrict user permissions** to minimum required
3. **Monitor abnormal SPListItem.Update()** calls
4. **Enable Advanced Threat Protection**

---

### 📚 References

- **NVD**: https://nvd.nist.gov/vuln/detail/CVE-2026-45659
- **Microsoft Update**: May 2026 Security Patch
- **AMN SECURITY Research**: SharePoint Deserialization RCE

---

## Connect with AMN SECURITY — تابعنا

🌐 **Website:** https://amn.amnoffsec.workers.dev/
📸 **Instagram:** https://www.instagram.com/ixctw
📧 **Email:** ayman.mahmoudoffsec@gmail.com

---

### ⚖️ Disclaimer

This tool is provided for **authorised security testing and educational purposes only**. Unauthorised use is illegal. The authors and AMN SECURITY assume no liability for misuse.

---



**🏴 AMN SECURITY** — Enterprise Offensive Security