對於負責管理公司內部 SharePoint 伺服器的資訊人員來說,五月的資安威脅來得又快又猛。微軟在剛結束五月例行安全更新(Patch Tuesday)後短短兩週,便緊急為一個全新的高風險漏洞發佈了修補程式。這個編號 CVE-2026-45659 的漏洞,能讓一個只擁有網站最基本權限的內部使用者或遭竊取帳號的攻擊者,不費吹灰之力地奪取整台 SharePoint 伺服器的完整控制權 。
這不是一個普通的修補程式,而是一個迫切需要立即處理的優先警報。
CVE-2026-45659 是一種既經典又危險的軟體缺陷:不受信任資料的反序列化(Deserialization of Untrusted Data)漏洞,正式弱點列舉為 CWE-502 。
用白話說,SharePoint 伺服器會接收並處理使用者傳來的複雜資料「包裹」。這個漏洞讓攻擊者可以精心製作一個惡意包裹,當伺服器進行「拆封」(反序列化)時,就會執行攻擊者指定的任何程式碼,達到遠端控制。
這個漏洞在技術指標上的每一項都指向「易於攻擊」:
這種「低權限、無需互動、網路可及」的組合,讓它成為攻擊者的理想目標。任何一個標準使用者帳號被盜,都可能成為癱瘓整個 SharePoint 服務的突破口。
這是一個只影響「本地自建部署(On-premises)」的問題,微軟的雲端服務 SharePoint Online 不受此漏洞影響 。
管理員需要立即檢查以下三個版本的 SharePoint 伺服器,並確認更新後的版號:
該安全修補程式於 2026 年 5 月 12 日作為標準安全更新的一部分提供,但在其嚴重性被進一步釐清後,微軟對它做了更詳盡的說明與強調 。
CVE-2026-45659 並非單一事件,而是近年來針對 SharePoint 本地部署版本一連串高強度反序列化漏洞攻擊的最新案例。
一個最具代表性的前例是 CVE-2026-20963,這個相似的漏洞擁有高達 9.8 的 CVSS 風險評分,極度危險。美國的聯邦機構——網路安全暨基礎設施安全局(CISA,相當於我國的數位發展部資安署)——在確認該漏洞已被用於實際攻擊後,於 2026 年 3 月 18 日正式將其列入「已知遭利用漏洞」(Known Exploited Vulnerabilities, KEV)目錄中,強制聯邦機關限期修補 。更驚人的是,根據歐盟 CERT-EU 的報告,微軟後來甚至更新了該漏洞的資安公告,將攻擊條件從「需經過驗證」修正為「無需身份驗證的攻擊者也能利用」,意味著任何人都可以直接發動攻擊
。
其他相關漏洞,例如 CVE-2026-33110,同樣涉及不受信任資料的反序列化,並且影響相同的產品線 。這一連串事件傳遞了極為明確的訊號:攻擊者與資安研究人員正高度聚焦在 SharePoint 的反序列化機制上,高風險漏洞正以驚人的頻率被發現。這讓即時且全面的修補,成為 SharePoint 管理員不可妥協的底線。
雖然安裝修補程式是唯一根本的解決方案,但採用「縱深防禦」策略能為組織帶來更多保障。針對必須自行維運 SharePoint 伺服器的企業,以下是建議的應變步驟:
w3wp.exe)產生的可疑程序、不尋常的對外網路連線或 Web Shell,以及服務帳號的異常行為。Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
CVE 2026 45659 是微軟 SharePoint 伺服器中一個高嚴重性(CVSS 8.8)的遠端程式碼執行漏洞,由不受信任資料的反序列化缺陷(CWE 502)引起。
CVE 2026 45659 是微軟 SharePoint 伺服器中一個高嚴重性(CVSS 8.8)的遠端程式碼執行漏洞,由不受信任資料的反序列化缺陷(CWE 502)引起。 此漏洞可透過網路進行低複雜度攻擊,僅需基本驗證(網站成員)權限,無需使用者互動。
影響 SharePoint Server 訂閱版、2019 及企業版 2016 等本地自建部署版本,SharePoint Online 不受影響。