CVE-2026-20963

Microsoft SharePoint

ВЕРОЯТНОСТЬ 7.1%
Дата обнаружения

2026-03-18

Официальное описание

Microsoft SharePoint contains a deserialization of untrusted data vulnerability that allows an unauthorized attacker to execute code over a network.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2026-20963 представляет собой критическую уязвимость десериализации ненадежных данных в Microsoft SharePoint. Проблема возникает из-за некорректной обработки входных объектов компонентами сервера, что позволяет неавторизованному злоумышленнику передать специально сформированный сериализованный объект. При попытке сервера восстановить состояние этого объекта происходит выполнение произвольного кода (RCE) в контексте учетной записи, под которой запущены службы SharePoint (обычно это аккаунт с высокими привилегиями). Уязвимость эксплуатируется удаленно по сети без необходимости предварительной аутентификации.

Как исправить

Основным методом устранения является установка официальных обновлений безопасности от Microsoft (Security Updates).

  1. Определите текущую версию и редакцию вашего SharePoint Server (2016, 2019 или Subscription Edition).
  2. Загрузите соответствующий пакет обновления из Microsoft Update Catalog.
  3. Установите обновление на все серверы в ферме, на которых запущены роли "Application Server" и "Web Front End".
  4. После установки файлов запустите мастер настройки SharePoint (PSConfig) для завершения процесса обновления базы данных и компонентов:
psconfig.exe -cmd setup -cmd upgrade -inplace b2b -wait -force
  1. Перезагрузите серверы для применения изменений в системных библиотеках.

Временные меры

Если немедленная установка патча невозможна, рекомендуется применить следующие компенсирующие меры для снижения риска:

  1. Ограничьте доступ к портам SharePoint (по умолчанию 80, 443) на сетевом уровне, разрешив подключения только из доверенных сегментов сети.
  2. Настройте правила Web Application Firewall (WAF) для блокировки подозрительных POST-запросов, содержащих сериализованные объекты .NET (например, проверьте наличие сигнатур System.Runtime.Serialization или специфических заголовков в теле запроса).
  3. Временно остановите неиспользуемые службы SharePoint через консоль администрирования.
  4. Включите расширенное логирование и мониторинг процессов w3wp.exe, порождающих подозрительные дочерние процессы (например, cmd.exe или powershell.exe):
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\w3wp.exe' -Name MitigationOptions -Value 0x0000000000000001
  1. Используйте политики AppLocker или Windows Defender Application Control (WDAC) для запрета выполнения несанкционированных скриптов и бинарных файлов веб-сервером.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей