Критична RCE уязвимост в SharePoint Server вече се експлоатира без автентикация
Знаем, че локалният (on-prem) SharePoint е сравнително рядко срещан в наши дни – повечето организации отдавна са преминали към SharePoint Online чрез Microsoft 365, който не е засегнат от CVE-2026-20963. Но ако вие или някой от Вашите бизнес партньори все още използва SharePoint Server, тази уязвимост изисква вашето незабавно внимание.
CVE-2026-20963 е критична уязвимост при десериализация в SharePoint, която позволява на неавтентифицирани атакуващи да изпълняват код от разстояние без никакво взаимодействие с потребителя. Това, което се промени – ситуацията се влоши допълнително: експлоатацията вече не изисква никакви идентификационни данни.
Засегнати са SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Уязвимостта съществува и в SharePoint 2007, 2010 и 2013, които са End-of-Life и няма да получат обновления.
CISA добави уязвимостта в каталога си с известни експлоатирани уязвимости и нареди на федералните граждански агенции в САЩ да я отстранят до 21 март. Времето тече и за всички останали.
Какво да направите веднага:
- Инсталирайте кръпката незабавно. За SharePoint Server 2019 поправката е включена в актуализацията за сигурност от 13 януари 2026 г. (KB5002825), достъпна чрез Microsoft Update и каталога с актуализации.
- Първо проверете версията си с помощта на скенера: Get-SPVersionInfo.ps1
- Ограничете достъпа. Ако не можете да инсталирате кръпката веднага, изключете сървъра от интернет – поставете го зад VPN, WAF или ограничете достъпа само до доверени IP адреси.
- Използвате версии с изтекъл срок на поддръжка (2007/2010/2013)? Кръпка няма да излезе. Изолирайте, ограничете достъпа и планирайте спешно извеждане от употреба.
- Проверете за компрометиране. Търсете неочаквани .aspx файлове в директориите на SharePoint и необичайни подпроцеси на exe.
Ако използвате Microsoft 365 / SharePoint Online – всичко е наред, няма какво да правите тук.
Ако не сте сигурни дали във вашата среда съществуват инстанции на SharePoint Server, сега е подходящ момент да попитате. Shadow IT и забравените локални сървъри са точно от типа неща, които се озовават в докладите за инциденти.