CVE-2026-45454: Sårbarhed i Microsoft SharePoint Server
Sikkerhedshul i Microsoft SharePoint lader en indlogget angriber læse følsomme filer på tværs af serveren via netværket.
Hvad er det?
CVE-2026-45454 er en såkaldt path traversal-sårbarhed (stinavnsmanipulation) i Microsoft SharePoint Server. Det betyder, at en angriber kan narre serveren til at udlevere filer uden for de mapper, den egentlig måtte tilgå — lidt ligesom at snige sig ind i et rum ad bagvejen, selv om hoveddøren er låst. Sårbarheden kræver, at angriberen allerede er logget ind med en brugerkonto, men kræver ingen særlige administratorrettigheder. Angrebet foregår over netværket og kræver ingen handling fra øvrige brugere.
Hvem rammer det?
Sårbarheden rammer virksomheder, der selv drifter Microsoft SharePoint Server — altså har serveren installeret på eget udstyr eller hos en hostingudbyder. Det gælder følgende versioner:
- SharePoint Server 2016
- SharePoint Server 2019
- SharePoint Server (nyere versioner ældre end build 16.0.19725.20384)
Bruger din virksomhed udelukkende SharePoint Online via Microsoft 365-abonnementet, er du ikke direkte ramt, da Microsoft selv håndterer opdateringer i cloud-versionen.
Hvad kan ske?
En angriber med en gyldig brugerkonto på dit SharePoint-system kan udnytte sårbarheden til at læse filer, som vedkommende normalt ikke har adgang til. Det kan dreje sig om:
- Fortrolige dokumenter, kontrakter og regnskaber gemt på serveren
- Konfigurationsfiler der kan afsløre adgangskoder eller serverdetaljer
- Personoplysninger, der er omfattet af GDPR
Sårbarheden påvirker fortrolighed (hvem der kan læse data), men ikke systemets tilgængelighed eller muligheden for at ændre data direkte. Et databrud kan dog få alvorlige konsekvenser for din virksomheds omdømme og medføre bøder fra Datatilsynet.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 6.5 ud af 10 (Moderat). Det er ikke den højeste kategori, men den bør tages alvorligt fordi:
- Angrebet kræver kun en normal brugerkonto — ikke administratoradgang
- Det foregår over netværket uden fysisk adgang til serveren
- Der kræves ingen hjælp fra andre brugere (ingen phishing-link eller lignende)
- Konsekvensen er potentielt læk af fortrolige data (høj fortrolighedspåvirkning)
Kombinationen af lav angrebskompleksitet og lav adgangstærskel gør den let at udnytte, når først en angriber har fået fat i en brugerkonto.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte din virksomhed:
- Find ud af hvilken version af SharePoint du kører. Din IT-ansvarlige kan tjekke dette i SharePoint Central Administration eller ved at kontakte jeres IT-leverandør.
- Opdatér SharePoint Server til den seneste version. Microsoft har udsendt en sikkerhedsopdatering. Sørg for, at build-nummeret er 16.0.19725.20384 eller højere.
- Prioritér SharePoint 2016 og 2019 ekstra højt. Disse versioner nærmer sig eller er nået slutningen af Microsofts supportperiode, og fremtidige sikkerhedsopdateringer er ikke garanterede.
- Gennemgå brugerkonti på SharePoint. Fjern eller deaktivér konti, der ikke længere er i brug, og tjek at kun relevante medarbejdere har adgang.
- Overvej en opgradering til SharePoint Online (Microsoft 365). Herved overtager Microsoft ansvaret for løbende sikkerhedsopdateringer.
Opdatér inden for 14 dage
Auroa anbefaler, at du afklarer din SharePoint-version og anvender Microsofts sikkerhedsopdatering inden for de næste 14 dage. Har du SharePoint 2016 eller 2019, bør du samtidig påbegynde en plan for migration til en moderne, supporteret version — enten nyere SharePoint Server eller SharePoint Online — da disse versioner på sigt ikke modtager sikkerhedsopdateringer. Kontakt os, hvis du har brug for hjælp til at vurdere din situation eller gennemføre opdateringen.
Tidslinje
Konkrete eksempler
Tidligere medarbejder tilgår fortrolige filer
En medarbejder har forladt virksomheden, men kontoen på SharePoint er aldrig blevet deaktiveret. Den tidligere medarbejder bruger sin gamle adgangskode til at logge ind og udnytter derefter sårbarheden til at navigere uden for sin normale mappe og downloade kontrakter, lønsedler og andre fortrolige dokumenter fra andre afdelingers mapper.
Kompromitteret brugerkonto bruges som springbræt
En angriber har via phishing skaffet sig adgangskoden til en almindelig medarbejderkonto. Med denne konto logger angriberen ind på SharePoint og anvender path traversal-teknikken til at hente konfigurationsfiler fra serveren. Disse filer indeholder databaseadgangskoder, som angriberen bruger til at eskalere angrebet videre ind i virksomhedens systemer.
Ekstern samarbejdspartner læser interne dokumenter
En leverandør har fået adgang til et afgrænset SharePoint-område for at dele projektdokumenter. Leverandørens konto misbruges — enten af leverandøren selv eller af en tredjepart der har fået fat i loginoplysningerne — til at udnytte sårbarheden og tilgå interne HR-dokumenter eller finansielle rapporter, som kontoen aldrig burde have kunnet se.
Ofte stillede spørgsmål
Vi bruger SharePoint via vores Microsoft 365-abonnement — er vi i fare?
Nej, ikke direkte. Denne sårbarhed rammer kun virksomheder, der selv drifter SharePoint Server på eget udstyr eller hos en hostingudbyder. Microsoft opdaterer løbende SharePoint Online og håndterer sikkerhedsrettelser centralt.
Skal angriberen have vores adgangskode for at udnytte hullet?
Ja, angriberen skal have en gyldig brugerkonto på jeres SharePoint-server. Det kan f.eks. være en tidligere medarbejder, hvis konto ikke er blevet slettet, eller en ekstern bruger hvis login-oplysninger er blevet kompromitteret via phishing eller datalæk et andet sted.
Hvad er en path traversal-sårbarhed helt konkret?
En path traversal (stinavnsmanipulation) opstår, når et program ikke korrekt kontrollerer, hvilke mapper og filer en bruger må tilgå. En angriber kan indsætte særlige tegn i en forespørgsel — f.eks.
../../../— for at bevæge sig op og ud af den tilladte mappe og dermed læse filer, som systemet aldrig burde have udleveret.Kan vi bruge en midlertidig løsning, hvis vi ikke kan opdatere med det samme?
Microsoft har ikke offentliggjort en officiel workaround for denne sårbarhed. Den bedste midlertidige foranstaltning er at begrænse adgangen til SharePoint-serveren, så kun nødvendige brugere og IP-adresser kan logge ind, og at gennemgå og deaktivere inaktive brugerkonti. En egentlig patch er dog den eneste holdbare løsning.
Hvad sker der, hvis vi kører SharePoint 2016 eller 2019 og ikke opgraderer?
SharePoint 2016 og 2019 er på vej ud af Microsofts mainstream-support. Det betyder, at antallet af fremtidige sikkerhedsopdateringer mindskes, og I risikerer at stå med en server, der ikke længere modtager rettelser. Vi anbefaler en plan for migration inden for det næste år.
Er der krav om at anmelde et eventuelt databrud til Datatilsynet?
Hvis en angriber har fået adgang til personoplysninger via denne sårbarhed, er I sandsynligvis forpligtet til at anmelde bruddet til Datatilsynet inden for 72 timer, jf. GDPR artikel 33. I bør kontakte jeres databeskyttelsesrådgiver (DPO) eller juridiske rådgiver for at vurdere omfanget.
Ramte produkter
Microsoft — Sharepoint Server
< 16.0.19725.20384
Microsoft — Sharepoint Server
2016
Microsoft — Sharepoint Server
2019
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Improper limitation of a pathname to a restricted directory (‘path traversal’) in Microsoft Office SharePoint allows an authorized attacker to execute code over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
