ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Microsoft SharePoint sunucularını etkileyen kritik bir güvenlik açığının saldırganlar tarafından aktif olarak istismar edilmeye başlandığını açıkladı. CVE-2026-45659 koduyla izlenen zafiyet, düşük ayrıcalıklara sahip kimliği doğrulanmış kullanıcıların uzaktan kod çalıştırmasına olanak tanıyor. Kurum, internete açık ve henüz güncellenmemiş SharePoint sunucularının öncelikli olarak yamalanması gerektiği uyarısında bulundu.

Kimliği Doğrulanmış Kullanıcılar Sunucuda Kod Çalıştırabiliyor

Microsoft’un yayımladığı teknik bilgilere göre SharePoint güvenlik açığı, güvenilmeyen verilerin hatalı şekilde işlenmesine neden olan bir serileştirme (deserialization) zafiyetinden kaynaklanıyor. Saldırganların yönetici yetkisine ihtiyaç duymadan yalnızca Site Member seviyesindeki izinlerle sunucuda uzaktan kod çalıştırabilmesi, açığın risk seviyesini önemli ölçüde artırıyor.

Çevrimiçi olarak erişilebilir SharePoint sunucuları 

Şirket, güvenlik güncellemelerini 21 Mayıs’ta SharePoint Enterprise Server 2016, SharePoint Server 2019 ile SharePoint Server Subscription Edition sürümleri için yayımladı. Microsoft, söz konusu CVE kaydının Mayıs 2026 güvenlik güncellemelerinde yanlışlıkla yer almadığını ve daha sonra ayrıca duyurulduğunu belirtti.

Açığın internet üzerinden sömürülebilmesi, saldırganların hedef sistem hakkında ayrıntılı bilgiye ihtiyaç duymaması ve kullanıcı etkileşimi gerektirmemesi nedeniyle güvenlik uzmanları riski yüksek olarak değerlendiriyor. Microsoft, uygun kimlik bilgilerine sahip bir kullanıcının tekrarlanabilir saldırılar gerçekleştirebileceğini ifade ediyor.

CISA Federal Kurumlara Acil Yama Talimatı Verdi

CISA, CVE-2026-45659’u Bilinen Aktif Olarak İstismar Edilen Zafiyetler (Known Exploited Vulnerabilities – KEV) kataloğuna ekledi. Kurum, ABD Federal Sivil Yürütme Kuruluşlarının Binding Operational Directive 26-04 kapsamında belirlenen süre içinde sistemlerini güncellemesini zorunlu tuttu. Direktif, özellikle internete açık sistemlerde aktif olarak istismar edilen açıkların öncelikli olarak kapatılmasını öngörüyor.

İnternet güvenliği kuruluşu Shadowserver’ın verilerine göre dünya genelinde internete açık 10 binden fazla Microsoft SharePoint sunucusu bulunuyor. Bu sistemlerin kaçının gerekli güvenlik güncellemesini yüklediği ise henüz bilinmiyor. İnternete doğrudan açık sunucular, saldırganların otomatik tarama araçlarıyla ilk hedefleri arasında yer alıyor.

CISA, SharePoint sunucularının son yıllarda fidye yazılımı grupları tarafından da sıkça hedef alındığına dikkat çekiyor. Kurumun verilerine göre 2021’den bu yana aktif olarak istismar edilen 11 farklı SharePoint açığı KEV kataloğuna eklendi. Bunların yedisi, fidye yazılımı saldırılarında başlangıç erişimi sağlamak amacıyla kullanıldı. Son gelişme, özellikle kurum içi SharePoint altyapısı kullanan kuruluşların güvenlik güncellemelerini gecikmeden uygulamasının kritik önem taşıdığını bir kez daha ortaya koyuyor.

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.