Två administratörer, en rättelse, en mycket olik juli

Föreställ dig två företag med samma on-premise SharePoint-server. Det ena tillämpade Microsofts säkerhetsuppdatering från maj 2026 samma vecka den kom. Det andra arkiverade den som rutin och gick vidare, lugnat av Microsofts egen notering om att utnyttjande var mindre sannolikt. Den 1 juli lade den amerikanska myndigheten CISA till just den bristen, CVE-2026-45659, i sin katalog över kända utnyttjade sårbarheter och hänvisade till bevis på aktiva angrepp i det fria. Den första administratören var redan säker. Den andra har nu ett brådskande problem med en offentlig tidsfrist kopplad till sig.

CISA gav amerikanska federala myndigheter till den 4 juli att lappa. Det datumet är inte din skyldighet, men noteringen är din varning: en sårbarhet som någon tonade ned i maj används mot verkliga mål i juli.

Bristen i klara ordalag

CVE-2026-45659 är en sårbarhet för fjärrkodkörning som orsakas av osäker deserialisering av ej betrodd data, med en allvarlighetspoäng på 8.8 av 10. I praktiken betyder det att en angripare kan få servern att köra kod efter eget val. Den påverkar on-premise produkterna, det vill säga SharePoint Server Subscription Edition, SharePoint Server 2019 och SharePoint Enterprise Server 2016, och inte det molnvärdade SharePoint i Microsoft 365.

Detaljen som höjer insatsen är den låga tröskeln. Att utnyttja bristen kräver inte administratörsrättigheter; ett enda konto med vanliga Webbplatsmedlem-behörigheter räcker. De flesta organisationer ger denna åtkomstnivå till konsulter, tillfällig personal och tiotals vanliga användare. En enda av dessa inloggningsuppgifter, nätfiskad eller återanvänd, är hela nyckeln.

Glappet mellan osannolikt och utnyttjat

När Microsoft släppte rättelsen i maj märkte man bristen som mindre sannolik att utnyttjas, en rimlig prognos som visade sig fel inom veckor. Det glappet är skälet till att leverantörens allvarlighetsbedömningar bör styra din lagningsordning, inte ditt beslut att lappa. En bedömning förutsäger angriparens beteende; en CISA-notering bland utnyttjade sårbarheter registrerar det. När de två är oense vinner registret, och det gjorde det just nu.

Mönstret är inte nytt. On-premise samarbetsservrar, exponerade mot internet och rika på intern data, hör till den mest pålitligt angripna programvaran i företagens bestånd. En nedtonad allvarlighetsnotering är en prognos, och prognoser är just det som angripare får betalt för att motbevisa.

Varför NIS2 ändrar insatsen, och vad man ska göra nu

För europeiska aktörer är följden både regulatorisk och teknisk. Under NIS2-direktivet måste organisationer inom tillämpningsområdet hantera kända sårbarheter och kan möta granskning och sanktioner om de underlåter det. I Sverige ger MSB och den svenska transponeringen kropp åt detta ramverk. En brist som står på en offentlig lista över utnyttjade sårbarheter, med en rättelse tillgänglig sedan maj, är nästan det tydligast möjliga beviset på att en rättelse fanns och inte tillämpades. Efter en incident är det det första dokument en utredare håller upp.

Åtgärden är snäv och omedelbar. Bekräfta om du kör någon av de tre berörda on-premise SharePoint-versionerna. Om du gör det, tillämpa uppdateringen från maj 2026 nu och sök efter tecken på intrång i stället för att anta att uppdateringen ensam stänger dörren. Behandla sedan CISA-katalogen, inte leverantörens allvarlighetsetikett, som din utlösare för nästa fall av det här slaget, för det finns alltid ett nästa.