
CISA предупреди за активно използвана уязвимост в Microsoft SharePoint: какво трябва да се провери
Краткият отговор: CISA добави CVE-2026-45659 в каталога си с Known Exploited Vulnerabilities, защото има данни за активна експлоатация на уязвимост в Microsoft SharePoint Server. Това не е рутинна бележка за пач вторник, а сигнал за приоритетна проверка: кои SharePoint сървъри са локални, кои са публично достъпни, дали майските корекции на Microsoft са приложени и дали има следи от опити за компрометиране.
Информацията е актуална към 8 юли 2026 г. Източници: CISA alert от 1 юли 2026 г., CISA KEV каталог, Microsoft Security Update Guide и The Hacker News.

Какво стана
На 1 юли 2026 г. CISA съобщи, че добавя CVE-2026-45659 в KEV каталога си. Този списък не е просто база с CVE номера. В него влизат уязвимости, за които има доказателства, че вече се използват в реални атаки. Затова появата на SharePoint там променя приоритета: ако организацията има собствен SharePoint Server, темата вече не е „ще пачнем при следващия прозорец“, а „проверяваме сега“.
По публичните описания уязвимостта е remote code execution проблем в Microsoft SharePoint Server, свързан с десериализация на недоверени данни. Microsoft е адресирала проблема в майските корекции за SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016. CISA посочва активна експлоатация, а The Hacker News отбелязва, че към момента няма пълна публична яснота как точно се използва пропускът и от кого.
Защо това е по-сериозно от обикновен security update
SharePoint често стои на границата между вътрешните документи и външния достъп. В много компании той пази договори, проектна документация, HR файлове, вътрешни процедури и интеграции с други Microsoft услуги. Ако локална инсталация е изложена към интернет или се използва от партньори през публичен адрес, една RCE уязвимост може да се превърне в входна точка към по-широка инфраструктура.
Тук има и управленски проблем. Част от организациите вече са преминали към Microsoft 365 и SharePoint Online, но все още поддържат стар локален SharePoint за архиви, вътрешни портали или наследени процеси. Именно тези „забравени, но работещи“ сървъри са опасни: те не винаги са в центъра на ежедневната поддръжка, но често съдържат ценни данни.
Кой е засегнат
Фокусът е върху локални SharePoint Server инсталации. Това означава SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016, ако не са получили нужните корекции. SharePoint Online не трябва автоматично да се поставя в същата категория, но администраторите на Microsoft 365 пак трябва да проверят дали нямат хибридни връзки, стари on-prem сървъри или публикувани вътрешни портали.
За българския бизнес най-практичният въпрос е прост: има ли въобще локален SharePoint и кой го поддържа. В по-малки фирми това често е външен IT партньор. В по-големи организации може да е отделен екип по инфраструктура. И в двата случая отговорът трябва да бъде конкретен: версия, дата на последния update, публичен достъп, резервни копия, логове и план за реакция.
Какво да проверите днес
Първо, инвентаризирайте SharePoint сървърите. Не разчитайте само на списъка с официални системи. Проверете DNS записи, firewall правила, reverse proxy конфигурации и стари VPN описания. Ако сървърът е достъпен отвън, рискът е по-висок и времето за реакция е по-кратко.
Второ, потвърдете пач нивото по Microsoft Security Update Guide и вътрешните ви записи. Не е достатъчно някой да каже „Windows Update мина“. SharePoint има собствени update изисквания, а след инсталация понякога са нужни допълнителни стъпки по конфигурацията. Ако нямате сигурно потвърждение, третирайте системата като непроверена.
Трето, прегледайте логовете. Търсете необичайни заявки, грешки около сериализация, подозрителни PowerShell активности, нови или променени акаунти, неочаквани файлове в уеб директории и връзки от необичайни IP адреси. При съмнение не спирайте само с пачване. Изолирайте системата, запазете логове и включете човек с incident response опит.
Полезен контекст има и в предишните ни материали за Windows 11 и юнските security поправки, предупрежденията на CISA за активно използвани уязвимости, месечните security update-и при Android и категорията Технологии.
Какво да следим през следващите дни
Най-важни ще бъдат три неща: дали Microsoft ще публикува допълнителни насоки, дали CISA или други агенции ще дадат повече детайли за начина на експлоатация и дали security общността ще види масово сканиране за уязвими SharePoint системи. При подобни случаи рискът често се увеличава след първоначалната новина, защото повече нападатели започват да търсят непачнати сървъри.
За администраторите добрата реакция не е паника, а дисциплина: инвентар, пач, проверка на логове, ограничаване на достъпа и ясна комуникация с ръководството. Ако SharePoint държи критични документи, това е и момент да се провери дали backup-ите са реално възстановими, а не само „успешни“ в dashboard-а.
FAQ: Microsoft SharePoint и CVE-2026-45659
Какво е CVE-2026-45659?
Това е уязвимост за remote code execution в Microsoft SharePoint Server, описана като проблем при десериализация на недоверени данни. CISA я добави в KEV каталога заради данни за активна експлоатация.
Трябва ли да се притесняват потребителите на SharePoint Online?
Публичните предупреждения са насочени към SharePoint Server, тоест локални инсталации. Но много организации имат хибридна среда, затова е разумно да се провери дали няма стар on-prem сървър, който все още е достъпен.
Достатъчно ли е само да се инсталира пач?
Не винаги. Ако системата е била уязвима и достъпна, трябва да има и проверка за следи от експлоатация. Пачът затваря входа, но не доказва, че преди това не е имало достъп.







