SharePoint-JWT-Bypass öffnet On-Prem-Sites
CVE-2026-55040 lässt unauthentisierte Angreifer als SharePoint-Nutzer auftreten. Rapid7 meldet CVSS 9.1. Der Auth-Bypass bricht die Kette, bevor die geplante RCE-Komponente im August nachgezogen wird.
Das Wichtigste in Kürze
- Auth zuerst patchen. CVE-2026-55040 ist der Einstieg. Ohne gültige Session bricht die von Rapid7 beschriebene RCE-Kette.
- Identität reicht. SID oder UPN des Zielnutzers genügen als Voraussetzung für die Identitätsübernahme.
- On-Prem priorisieren. Internet-exponierte SharePoint-Server sind das dringende Inventar, nicht die reine CVE-Liste.
- Zweiter Zero-Day im Blick. CVE-2026-56164 (SharePoint EoP) wurde laut Microsoft bereits ausgenutzt. AMSI-Mitigation prüfen.
Verwandt:Der schwächste Zulieferer öffnet die kritische Anlage / Ein signierter Treiber macht den Endpunktschutz blind
Was CVE-2026-55040 bricht
Was ist der SharePoint-JWT-Bypass? CVE-2026-55040 ist eine Schwachstelle in der JWT-Token-Validierung von Microsoft SharePoint. Ein entfernter, unauthentisierter Angreifer kann die Authentifizierung umgehen und Operationen als Site-Nutzer oder Administrator ausführen, sofern er die Zielidentität kennt.
Entdeckt hat die Lücke Stephen Fewer von Rapid7 Labs im Rahmen eines Zero-Day-Forschungsprojekts. Die Koordination mit Microsoft lief seit dem 18. Mai 2026. Am 14. Juli 2026 folgte die öffentliche Disclosure zusammen mit dem Juli-Patch.
CVSS v3.1 für CVE-2026-55040 (Critical)
Quelle: Rapid7 / FIRST-Rechner
Die Voraussetzung ist präzise: Der Angreifer muss die Zielperson kennen, etwa über Active-Directory-SID oder UPN (typisch mailähnlich). Danach kann er die Identität annehmen. Rapid7 beschreibt SID-Enumeration plus Identitätsübernahme bis zum Site-Administrator in der PoC-Darstellung.
Definition · JWT-Auth-Bypass
Ein Angreifer umgeht die Token-Prüfung und tritt als bekannter SharePoint-Nutzer auf, ohne dessen Passwort zu kennen.
Warum der Auth-Bypass die RCE-Kette stoppt
Rapid7 verkettete den Bypass mit einer separaten RCE-Schwachstelle zu unauthentisierter Remote Code Execution. Microsoft plant den RCE-Teil für den August-Zyklus. Der Juli-Fix für CVE-2026-55040 unterbricht diese Kette bereits. Auth-Bypasses sind deshalb keine mittleren Probleme. Sie öffnen die authentisierte Angriffsfläche komplett.
Parallel adressiert der Juli-Patchday CVE-2026-56164, eine SharePoint Elevation-of-Privilege mit aktiver Ausnutzung laut Microsoft (CVSS 5.3, Moderate). Betroffen: SharePoint Server 2016, 2019 und Subscription Edition. Microsoft verweist auf AMSI-Integration als zusätzliche Erkennung von schädlichen POST-Requests. Das ersetzt den Patch nicht, ergänzt ihn.
Priorität für DACH-Admins
Zuerst inventarisieren: Welche SharePoint-Server laufen on-prem und sind aus dem Internet erreichbar? Jede solche Instanz ist Hotfix. Danach Patch-Stand gegen die Juli-Updates prüfen. Builds dokumentieren. Rollback-Plan bereithalten, aber nicht patchen aufschieben.
Danach Identitätsspuren: ungewöhnliche Site-Admin-Aktivitäten, neue Webparts, verdächtige Dateiuploads, Token- und Auth-Anomalien in den Logs. Wer nur CVEs tickt und Exposure ignoriert, verliert Zeit.
On-Prem-SharePoint jetzt
- ✓Juli-2026-Updates für SharePoint Server einspielen und Build-Stand verifizieren
- ✓Internet-exponierte SharePoint-Instanzen inventarisieren und Exposure killen
- ✓AMSI-Integration für SharePoint prüfen (Microsoft-Mitigation für verwandte EoP-Pfade)
- ✓Admin- und Site-Konten auf ungewöhnliche Anmeldungen und Token-Muster prüfen
- ✓Auth-Bypass und RCE-Kette getrennt tracken: August-Patch für RCE-Komponente einplanen
Was der Board-Satz sein muss
On-Prem-SharePoint bleibt Angriffsfläche, solange Auth-Pfade schwach und Instanzen exponiert sind. CVE-2026-55040 zeigt: Collaboration-Plattformen sind Management-Layer. Wer sie patcht und vom Internet nimmt, bricht Ketten. Wer wartet, kauft sich den August-RCE-Anteil teurer ein.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Ist CVE-2026-55040 remote ausnutzbar?
Ja. Rapid7 beschreibt einen entfernten, unauthentisierten Angriffspfad. Voraussetzung ist Kenntnis der Zielidentität (SID oder UPN).
Reicht der Juli-Patch gegen die volle RCE-Kette?
Er bricht die von Rapid7 beschriebene Kette am Auth-Bypass. Die separate RCE-Komponente soll im August-Zyklus folgen. Trotzdem sofort patchen.
Betrifft das SharePoint Online?
Die Disclosure zielt auf SharePoint Server und die JWT-Validierungspipeline der betroffenen Serverprodukte. Den genauen Patch-Scope liefert der MSRC-Eintrag zur jeweiligen Build.
Was ist der Unterschied zu CVE-2026-56164?
56164 ist eine EoP mit bestätigter Ausnutzung im Wild. 55040 ist der JWT-Auth-Bypass mit CVSS 9.1 und Kettenpotenzial zu RCE.
Welche Mitigation zählt neben dem Patch?
Internet-Exposure reduzieren, AMSI für SharePoint aktivieren, Admin-Konten überwachen und ungewöhnliche Site-Operationen alarmieren.
Lesetipps der Redaktion
LesetippDer schwächste Zulieferer öffnet die kritische AnlageLesetippEin signierter Treiber macht den Endpunktschutz blindLesetippWas ist KRITIS? Betreiber, Pflichten und Schwellen
Mehr aus dem MBF Media Netzwerk
cloudmagazinWenn GPUs den SaaS-Etat auffressenMyBusinessFutureWann sich ein deutsches KI-Modell wirklich rechnetDigital ChiefsDie Rechnung für zehn Jahre Insellösungen
Bildquelle: KI-generiert (Juli 2026)





