文章总结： 微软确认SharePointServer零日漏洞CVE-2026-32201正被积极利用，该漏洞因输入验证缺陷允许未认证攻击者实施网络欺骗攻击，CVSS评分6.5。微软已发布针对三个受影响版本的安全更新，建议企业立即应用补丁、限制外部访问并监控威胁指标。 综合评分： 88 文章分类： 漏洞分析,威胁情报,应急响应,解决方案,漏洞预警

微软 SharePoint Server 零日漏洞已被攻击者积极利用

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月15日 12:05 北京

在小说阅读器读本章

去阅读

微软于 2026 年 4 月 14 日在其每月安全更新周期中证实，Microsoft SharePoint Server 中的一个严重零日欺骗漏洞正在被积极利用。

该漏洞被追踪为 CVE-2026-32201，影响多个版本的 SharePoint Server，其 CVSS 基本评分为 6.5（重要），调整后的临时评分为 6.0，反映了官方修复程序的可用性。

该漏洞源于 Microsoft Office SharePoint 中不正确的输入验证 (CWE-20)，允许未经身份验证的远程攻击者通过网络执行欺骗攻击。

该漏洞的攻击向量被归类为网络，攻击复杂度评级为低，并且不需要任何权限或用户交互，因此对于以企业 SharePoint 部署为目标的威胁行为者来说，这是一个门槛很低的入口点。

根据微软的公告，成功利用此漏洞可能允许攻击者查看一些敏感信息并篡改已披露的数据，但目标资源的可用性不受影响。

虽然对机密性和完整性的个别影响被评为低，但没有身份验证要求和已确认的活跃利用相结合，大大提高了现实世界的风险。

0日漏洞在野外已被积极利用

微软的公告证实，该漏洞已被评估为“检测到利用”，这意味着在补丁发布之前就已经观察到了活跃的攻击。

漏洞利用代码成熟度被标记为“功能性”，报告置信度被标记为“已确认”，这一组合使得该漏洞在企业补丁优先级列表中名列前茅。

该漏洞在微软发布补丁之前并未公开披露，这表明在协调披露之前，威胁行为者可能已经将其武器化为真正的零日漏洞。

微软已针对所有三个受影响的 SharePoint Server 版本发布了安全更新：

• SharePoint Server 订阅版 — KB5002853，版本 16.0.19725.20210
• SharePoint Server 2019 — KB5002854，版本 16.0.10417.20114
• SharePoint 企业服务器 2016 — KB5002861，版本 16.0.5548.1003

这三项更新均于 2026 年 4 月 14 日发布，微软已将每款受影响产品标记为需要客户采取行动。鉴于漏洞已被确认利用，各组织应将这些补丁视为紧急更新。

• 请立即为所有受影响的 SharePoint Server 版本应用相应的安全更新。
• 审核 SharePoint 服务器访问日志，查找异常的基于网络的欺骗活动或异常身份验证模式
• 在应用补丁程序之前，尽可能限制面向外部的 SharePoint 实例。
• 监控威胁情报源，查找与活跃攻击活动相关的入侵指标（IOC）。
• 确保 SharePoint Server 实例不会在没有额外多层防御措施（例如 WAF 规则或网络分段）的情况下直接暴露于 Internet。

SharePoint Server 仍然是全球部署最广泛的企业协作平台之一，因此成为国家行为体和以经济利益为目的的威胁组织的高价值目标。

协作工具中的欺骗漏洞可被利用作为横向移动、凭证窃取或类似商业电子邮件入侵攻击的初始立足点。

鉴于已确认存在实际利用漏洞，我们强烈建议运行本地 SharePoint 部署的组织，特别是那些仍在使用 2016 或 2019 版本的组织，优先安装此补丁。

微软已对安全社区就此漏洞开展的协调披露工作表示认可。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《微软 SharePoint Server 零日漏洞已被攻击者积极利用》