BRIEFING SÉCURITÉ · 15.07.2026 DEENFRES

Pratique & Mise en œuvre

Contournement JWT SharePoint : sites locaux exposés

Par Alec Chizhik · 15 juillet 2026 · 6 min de lecture

La CVE-2026-55040 permet à des attaquants non authentifiés de se faire passer pour des utilisateurs SharePoint. Rapid7 signale un score CVSS de 9,1. Le contournement d’authentification brise la chaîne avant que la composante RCE prévue ne soit déployée en août.

Points clés

  • Corrigez l’authentification en priorité. La CVE-2026-55040 constitue la porte d’entrée. Sans session valide, la chaîne RCE décrite par Rapid7 est rompue.
  • L’identité suffit. Un SID (Security Identifier) ou un UPN (User Principal Name) de l’utilisateur cible est suffisant pour usurper son identité.
  • Privilégiez les environnements locaux. Les serveurs SharePoint exposés à Internet doivent être priorisés dans l’inventaire, et non la simple liste des CVE.
  • Surveillez un second zero-day. Selon Microsoft, la CVE-2026-56164 (SharePoint EoP) a déjà été exploitée. Vérifiez les atténuations AMSI.

Articles associés :Le fournisseur le plus vulnérable ouvre la brèche dans l’installation critique  /  Un pilote signé rend la protection des terminaux aveugle

Ce que CVE-2026-55040 brise

Qu’est-ce que le contournement de JWT dans SharePoint ? CVE-2026-55040 est une vulnérabilité affectant la validation des jetons JWT (JSON Web Token) dans Microsoft SharePoint. Un attaquant distant non authentifié peut contourner l’authentification et exécuter des opérations en tant qu’utilisateur ou administrateur du site, à condition de connaître l’identité cible.

Cette faille a été découverte par Stephen Fewer, chercheur chez Rapid7 Labs, dans le cadre d’un projet de recherche sur les zero-days. La coordination avec Microsoft a débuté le 18 mai 2026. Le 14 juillet 2026, la vulnérabilité a été rendue publique en même temps que le correctif mensuel de juillet.

9,1

Score CVSS v3.1 pour CVE-2026-55040 (Critique)

Source : Rapid7 / Calculateur FIRST

La condition préalable est précise : l’attaquant doit connaître la personne cible, par exemple via un SID Active Directory ou un UPN (User Principal Name, généralement sous forme d’adresse e-mail). Une fois cette information obtenue, il peut usurper l’identité. Rapid7 décrit dans sa preuve de concept (PoC) une énumération de SID suivie d’une prise de contrôle d’identité pouvant mener jusqu’aux droits d’administrateur du site.

Définition · Contournement d’authentification JWT

Un attaquant contourne la vérification du jeton et se fait passer pour un utilisateur connu de SharePoint, sans connaître son mot de passe.

Pourquoi le contournement d’authentification bloque la chaîne d’exécution de code à distance

Rapid7 a enchaîné ce contournement avec une vulnérabilité distincte d’exécution de code à distance (RCE) pour permettre une exécution de code à distance non authentifiée. Microsoft prévoit de traiter la partie RCE lors de son cycle de correctifs d’août. Le correctif de juillet pour la CVE-2026-55040 interrompt déjà cette chaîne. Les contournements d’authentification ne sont donc pas des problèmes de gravité moyenne. Ils ouvrent entièrement la surface d’attaque authentifiée.

Parallèlement, le Patch Tuesday de juillet corrige également la CVE-2026-56164, une élévation de privilèges dans SharePoint activement exploitée selon Microsoft (CVSS 5.3, gravité modérée). Les versions concernées sont SharePoint Server 2016, 2019 et l’édition par abonnement. Microsoft souligne l’intégration d’AMSI (Antimalware Scan Interface) comme mécanisme supplémentaire de détection des requêtes POST malveillantes. Cela complète le correctif sans le remplacer.

Priorité pour les administrateurs DACH

Premier impératif : inventorier les serveurs SharePoint. Quelles instances on-premises sont accessibles depuis Internet ? Chaque instance concernée doit faire l’objet d’un correctif urgent. Ensuite, vérifier l’état des correctifs par rapport aux mises à jour de juillet. Documenter les versions. Préparer un plan de retour arrière, mais ne pas reporter l’application des correctifs.

Puis, analyser les traces d’identité : activités inhabituelles des administrateurs de sites, nouveaux composants Web, téléchargements de fichiers suspects, anomalies de jetons et d’authentification dans les journaux. Se concentrer uniquement sur les CVE et ignorer les expositions revient à perdre un temps précieux.

SharePoint on-premises – actions immédiates

  • Appliquer les mises à jour de juillet 2026 pour SharePoint Server et vérifier le numéro de build
  • Inventorier les instances SharePoint exposées sur Internet et éliminer les expositions
  • Vérifier l’intégration d’AMSI pour SharePoint (atténuation Microsoft pour les chemins EoP associés)
  • Analyser les comptes administrateurs et de sites pour détecter des connexions inhabituelles et des motifs de jetons
  • Suivre séparément les contournements d’authentification et la chaîne RCE : planifier le correctif d’août pour la composante RCE

Ce que doit être la configuration du conseil d’administration

Les instances locales de SharePoint restent une surface d’attaque tant que les chemins d’authentification sont faibles et que les instances sont exposées. La CVE-2026-55040 le démontre : les plateformes de collaboration sont des couches de gestion. Qui les patch et les retire d’Internet brise les chaînes. Qui attend s’offre une part de RCE en août à un prix bien plus élevé.

Foire aux questions

Chaque question est verrouillée. Un clic déverrouille la réponse.

La vulnérabilité CVE-2026-55040 est-elle exploitable à distance ?

Oui. Rapid7 décrit une voie d’attaque à distance non authentifiée. La condition préalable est la connaissance de l’identité cible (SID ou UPN).

Le correctif de juillet suffit-il pour contrer l’ensemble de la chaîne RCE ?

Il contourne la chaîne décrite par Rapid7 au niveau du contournement d’authentification (auth-bypass). La composante RCE (exécution de code à distance) distincte devrait suivre lors du cycle de mise à jour d’août. Patcher immédiatement malgré tout.

Cela concerne-t-il SharePoint Online ?

Cette divulgation concerne les serveurs SharePoint et le pipeline de validation JWT des produits serveurs concernés. La portée exacte des correctifs est précisée dans l’entrée du MSRC (Microsoft Security Response Center) relative à chaque build.

Quelle est la différence avec CVE-2026-56164 ?

56164 est une EoP (Élévation de Privilèges) avec exploitation confirmée en environnement réel. 55040 est une faille d’authentification JWT (JSON Web Token) avec un score CVSS de 9,1 et un potentiel de chaîne d’attaque menant à une exécution de code à distance (RCE).

Quelles mesures d’atténuation s’appliquent en complément du correctif ?

Réduire l’exposition sur Internet, activer l’AMSI pour SharePoint, surveiller les comptes administrateurs et alerter en cas d’opérations inhabituelles sur les sites.

Les choix de la rédaction

À lireLe plus faible des fournisseurs ouvre l’installation critiqueÀ lireUn pilote signé rend la protection des points de terminaison aveugle

Plus du réseau MBF Media

cloudmagazinComment les GPU pourraient dévorer l’état SaaSMyBusinessFutureQuand un modèle d’IA allemand devient rentable

Pour aller plus loin

Pratique & Mise en œuvre · 15 juillet 2026

Contournement de BitLocker en cas d’accès physique

CVE-2026-50661 contourne BitLocker lors d'un accès physique. Score CVSS 6.1, correctif de juillet, checklist pour ordinateurs portables et procédures de perte d'appareil.

Un magazine d'Evernine Media GmbH