CVE202620963 publicerades ursprungligen i januari 2026, men har nyligen fått förnyad uppmärksamhet på grund av bekräftad aktiv exploatering.
CISA lade till sårbarheten i sin lista över kända exploaterade sårbarheter (KEV) den 18 mars 2026, efter rapporter om attacker i den verkliga världen. Felet är en sårbarhet för fjärrkörning av kod i Microsoft SharePoint som orsakas av felaktig hantering av icke betrodda data under deserialisering. När den väl har utlösts kan angripare köra kod på SharePoint-servern, och tillgänglig information tyder på att autentisering kanske inte krävs.
Eftersom SharePoint ofta lagrar känslig intern information och ligger till grund för viktiga arbetsflöden för samarbete, kan ett framgångsrikt utnyttjande leda till betydande operativa risker och datasäkerhetsrisker.
Om den utnyttjas kan en angripare
Detta verkar vara en fjärran attack som kanske inte kräver referenser, baserat på den information som för närvarande är tillgänglig.
Enligt publicerad information påverkas följande Microsoft SharePoint-produkter:
CVE202620963 utnyttjas aktivt. Även om specifika hotgrupper inte har identifierats offentligt, överensstämmer de tekniker som observerats med de som används av angripare som specialiserar sig på att få initial åtkomst för ytterligare intrångsaktivitet eller ransomware-distribution.
Microsoft har släppt säkerhetsuppdateringar som hanterar problemet. Att uppdatera alla berörda SharePoint-servrar till den senaste uppdaterade versionen är det viktigaste steget.
Se till att SharePoint-servrar inte är onödigt exponerade:
Öka övervakningen på berörda servrar för:
Granska administrativa roller och servicekonton för att säkerställa att minimala privilegier tilldelas.
Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kontoansvarige, eller alternativt kontakta oss för att ta redapå hur du kan skydda din organisation.