Retour au blog
CVESharePointRCEtechnique

SharePoint CVE-2026-58644 : une RCE critique zero-day ajoutée au catalogue KEV de la CISA

Publié le 2026-07-176 min de lectureCleanIssue

> En bref : CVE-2026-58644 est une faille critique de désérialisation de données non fiables (CVSS 9.8) dans Microsoft SharePoint Server. Un attaquant authentifié au moins comme Site Owner peut, par le réseau, écrire et exécuter du code arbitraire à distance. Exploitée comme zero-day avant le correctif du Patch Tuesday du 14 juillet. La CISA l'a ajoutée à son catalogue KEV le 16 juillet avec un délai au 19 juillet pour les agences fédérales.

Pourquoi ça vous concerne

Vous ne vendez probablement pas SharePoint — mais une grande part de vos clients grands comptes y hébergent leur intranet, leur GED ou leur portail d'onboarding. Beaucoup d'éditeurs SaaS RH s'intègrent à Microsoft 365 pour récupérer des dossiers salariés, des contrats ou des bulletins de paie. Un SharePoint Server compromis à côté de votre intégration, c'est un chemin direct vers les données que traite votre produit.

Et les SharePoint Server sont régulièrement exposés sur Internet — souvent par une équipe IT qui n'est pas la vôtre, sur un cycle de patch que vous ne contrôlez pas.

La faille en deux phrases

CVE-2026-58644 est une vulnérabilité de désérialisation. Un attaquant authentifié au moins comme Site Owner peut, par le réseau, écrire du code arbitraire et le faire exécuter par le SharePoint Server. Microsoft qualifie la complexité de l'attaque de faible : pas de connaissance préalable significative du système, et succès reproductible avec le même payload.

Les failles de désérialisation sont un classique des RCE : quand le serveur reconstruit un objet à partir de bytes contrôlés par l'attaquant sans assez de validation, l'attaquant peut orienter l'exécution vers du code malveillant. C'est la même famille de bugs qui touche les serveurs d'applications Java, Jenkins ou Confluence depuis des années.

Un cluster de failles SharePoint, pas un cas isolé

CVE-2026-58644 n'est pas isolée. L'alerte CISA du 14 juillet nomme tout un ensemble de vulnérabilités SharePoint Server activement exploitées — CVE-2026-32201, CVE-2026-45659, CVE-2026-56164, CVE-2026-58644 — permettant toutes de la RCE ou du post-exploitation sur les instances on-premise. Le schéma suivi par les attaquants est constant : obtenir une RCE, voler la clé machine IIS, l'utiliser pour la persistance et signer d'autres payloads malveillants.

Le vol de la clé machine IIS est le détail à retenir. Une fois que l'attaquant l'a, la rotation de la clé ne suffit pas — il faut d'abord chercher et retirer les artifacts de persistance, sinon la nouvelle clé se fera voler à nouveau.

Versions affectées

  • Microsoft SharePoint Server Subscription Edition
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Enterprise Server 2016
  • Toutes les versions on-premise supportées, en clair. SharePoint Online (Microsoft 365) n'est pas affecté de la même façon — Microsoft corrige côté serveur.

    Ce qu'il faut faire

  • Appliquer les correctifs du Patch Tuesday du 14 juillet et vérifier qu'ils sont réellement installés. Raccourcissez votre cycle de patch SharePoint — ce n'est plus une préoccupation trimestrielle.
  • Activer l'intégration AMSI sur chaque application web SharePoint. C'est la couche de détection la plus efficace pour cette classe d'attaque, et Microsoft la liste comme mitigation partielle de la CVE associée CVE-2026-56164.
  • Arrêter d'exposer les SharePoint Server sur Internet. Restreignez l'accès externe à l'administration centrale de SharePoint, et limitez les communications farm/base aux systèmes qui en ont réellement besoin.
  • Avant de rotation la clé machine IIS, scannez et supprimez les artifacts d'intrusion (outils de vol de clé). Rotater d'abord, c'est refiler la nouvelle clé à l'attaquant.
  • Mettre en place un logging dédié pour détecter l'exploitation — vous voulez savoir si l'instance a été touchée avant le patch.
  • La leçon plus large pour les éditeurs SaaS

    Cette CVE rappelle que la posture de sécurité de vos clients impacte la vôtre. Quand une plateforme RH s'intègre à SharePoint, une fuite côté SharePoint peut déverser identifiants, tokens ou documents directement dans votre produit. Documenter les attentes de sécurité d'intégration avec vos clients grands comptes — durcissement du tenant M365, patch SharePoint, permissions applicatives scopées — fait désormais partie du métier d'éditeur SaaS RH, pas seulement de l'équipe IT du client.

    Si vous exploitez de l'infra on-premise à côté de votre SaaS (une ferme SharePoint pour un module legacy, un dépôt documentaire), la même urgence s'applique à vous directement.

    Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit