國網路安全和基礎設施安全局 (CISA) 證實了這一消息，該機構於週三將漏洞添加到其已知可利用漏洞 (KEV) 目錄中。

關於 CVE-2026-20963

CVE-2026-20963 影響 Microsoft SharePoint Server 訂閱版、Microsoft SharePoint Server 2019 與 Microsoft SharePoint Enterprise Server 2016。

這是由於對不受信任的資料進行反序列化造成的，並且可能允許未經授權的攻擊者透過低複雜度的攻擊實現遠端程式碼執行 (RCE)。

微軟在 2026 年 1 月 13 日發布的相關安全公告中解釋說：「在基於網路的攻擊中，未經身份驗證的攻擊者可以編寫任意程式碼，以在 SharePoint 伺服器上遠端注入和執行程式碼，利用 CVE-2026-20963 漏洞無需使用者互動。」

在發布修復程式時，微軟認為該漏洞「不太可能」被利用，但仍敦促使用 SharePoint 的組織盡快升級到修復後的版本。

CISA 的 KEV 目錄會根據已核實的報告定期更新，但它不會提供有關新增漏洞的詳細信息，通常也不會指向已發布的第三方報告。微軟尚未更新安全公告，顯示該漏洞正遭受攻擊。

透過將該缺陷添加到 KEV 目錄中，CISA 已命令美國聯邦民事機構在 2026 年 3 月 21 日之前解決該缺陷。使用 SharePoint 的私部門和其他公部門組織也應該這樣做（如果他們還沒有這樣做的話）。

於 SharePoint 伺服器通常包含有價值的企業數據，並且還可以用作整個商業環境的入口，因此 SharePoint 漏洞經常被各種攻擊者利用。

資料來源：https://www.helpnetsecurity.com/2026/03/19/sharepoint-vulnerability-cve-2026-20963-exploited/