Amerikanska cybersäkerhetsmyndigheten CISA har lagt till en sårbarhet i Microsoft SharePoint Server till sin lista över kända, aktivt utnyttjade sårbarheter (KEV). Sårbarheten, CVE-2026-45659, har ett CVSS-betyg på 8,8 av 10 och gör det möjligt för en inloggad angripare att köra kod på servern på distans.
Vad är felet?
Problemet ligger i hur SharePoint hanterar deserialisering av data som inte kan litas på. En angripare behöver bara vanlig medlemsbehörighet i en webbplats — inga administratörsrättigheter krävs — för att kunna utlösa sårbarheten och köra egen kod på servern. Microsoft patchade felet redan i maj 2026 för SharePoint Server Subscription Edition, SharePoint Server 2019 och SharePoint Enterprise Server 2016.
Microsoft sa "osannolikt" – sedan hände det
Det som gör fallet extra intressant är att Microsoft själva klassade sannolikheten för aktiv exploatering som "mindre sannolik" när patchen släpptes. Några veckor senare bekräftade CISA att sårbarheten faktiskt utnyttjas i verkligheten. Det är ännu inte klarlagt exakt vilka aktörer som ligger bakom eller vad slutmålet är, men federala myndigheter i USA fick en deadline till den 4 juli 2026 att patcha.
Varför det spelar roll för svenska företag
SharePoint används brett även utanför USA — av byråer, myndigheter och medelstora företag som driver interna samarbetsytor och dokumenthantering. En obehandlad server som är exponerad mot internet kan ge en angripare full kodkörning, vilket i värsta fall öppnar dörren för allt från datastöld till ransomware.
Så skyddar du er
Kontrollera vilken version av SharePoint Server ni kör och installera Microsofts säkerhetsuppdatering från maj 2026 omedelbart om ni inte redan gjort det.
Se över vilka SharePoint-instanser som är exponerade mot internet — begränsa åtkomst där det går.
Granska loggar för ovanlig aktivitet från kontomedlemmar med endast grundläggande behörighet.
Om ni använder molnbaserad SharePoint (Microsoft 365) berörs ni inte av just denna sårbarhet, men det är ett bra tillfälle att dubbelkolla generella patchrutiner för lokala servrar.
Incidenten är ytterligare ett exempel på ett mönster vi sett upprepade gånger 2026: sårbarheter som leverantörer bedömer som lågrisk visar sig snabbt bli favoritverktyg för angripare, ofta inom dagar till veckor efter att en patch offentliggjorts.