CVE-2026-32201 : Vulnérabilité de spoofing dans Microsoft SharePoint Server

Danger

Cette vulnérabilité est confirmée comme étant exploitée activement (CISA KEV).

Note

TL;DR: Les versions 2016, 2019 et Subscription Edition de Microsoft SharePoint Server sont affectées par un défaut de validation d’entrée permettant le spoofing. La CISA a ajouté cette CVE à son catalogue de vulnérabilités exploitées.

Résumé exécutif

Une faille critique de validation d’entrée a été identifiée dans Microsoft SharePoint Server, référencée sous le CVE-2026-32201. Cette vulnérabilité permet à un attaquant distant non authentifié de réaliser des attaques de spoofing. Compte tenu de son intégration dans le catalogue KEV de la CISA, une atténuation immédiate est requise.

Analyse technique

La vulnérabilité provient d’une validation d’entrée insuffisante dans l’architecture de SharePoint Server. Plus précisément, le traitement de certaines requêtes HTTP manque de sanitisation, ce qui permet à un attaquant de manipuler des paramètres et d’effectuer des opérations de spoofing.

1. Identification: la faille touche SharePoint Server 2016 (Enterprise), 2019 et la Subscription Edition (jusqu’à la version 16.0.19725.20210).
2. Vecteur d’exploitation: un attaquant envoie une requête spécialement forgée vers le point d’entrée vulnérable de SharePoint.
3. Impact: l’exploitation réussie permet de falsifier du contenu ou des identités dans le contexte de SharePoint.

Investigation Forensic

Pour les analystes forensic enquêtant sur une exploitation potentielle :

• Corrélez les logs IIS avec des motifs de trafic inhabituels ciblant les endpoints SharePoint.
• Surveillez les requêtes HTTP suspectes contenant des paramètres inattendus ou des payloads s’écartant des opérations SharePoint standards.

Détection

• Signature: surveillez les motifs de requêtes anormaux ciblant les champs de saisie SharePoint.
• Threat Hunting: analysez les logs IIS pour identifier des requêtes réussies démontrant une manipulation de paramètres ou un comportement de spoofing non autorisé.

Atténuation

Les organisations doivent appliquer immédiatement les mises à jour fournies par le fournisseur. Suivez les recommandations de la directive BOD 22-01 de la CISA.

Sources

• NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-32201
• CISA KEV: https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-32201
• Microsoft Advisory: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32201