文章总结： 根据Shadowserver基金会扫描数据，全球超过1370台面向互联网的MicrosoftSharePoint服务器仍存在严重欺骗漏洞CVE-2026-32201，该漏洞已被CISA列入已知利用漏洞目录且确认被积极利用。攻击者无需身份验证即可通过特制请求冒充合法用户访问或篡改敏感数据，尽管CVSS评分为6.5，但实际风险远超评分。组织应立即应用微软4月补丁、限制SharePoint公开访问并监控异常活动。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,安全运营,网络安全,应用安全

超过 1370 台 Microsoft SharePoint 服务器易受欺骗攻击，其安全漏洞已在网上曝光

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月22日 19:09 北京

在小说阅读器读本章

去阅读

根据 Shadowserver 基金会的最新扫描数据，微软 SharePoint Server 中的一个严重欺骗漏洞（编号为 CVE-2026-32201）在全球超过 1370 个面向互联网的 IP 地址上仍未得到修补，尽管该漏洞已被列入 CISA 的已知利用漏洞 (KEV) 目录，并且已确认在实际环境中被积极利用。

CVE-2026-32201 源于Microsoft Office SharePoint Server 请求处理组件中不正确的输入验证 (CWE-20)。未经身份验证的远程攻击者可以通过发送特制的网络请求绕过身份验证检查，并冒充合法用户执行欺骗攻击，从而访问或篡改敏感的组织数据。

微软的公告证实，成功利用该漏洞可以让攻击者查看敏感信息并更改已泄露的信息，但可用性不会受到直接影响。

该漏洞的 CVSS v3.1 基本评分为 6.5（中等严重性），但安全研究人员警告说，其在现实世界中的危险远远超过了其评分。

该攻击向量完全基于网络（AV:N），需要的复杂度低（AC:L），无需特权（PR:N），也无需用户交互（UI:N），这对任何暴露于互联网的企业协作平台来说都是一个危险的组合。

微软 SharePoint 服务器存在漏洞

微软于 2026 年 4 月 14 日披露了 CVE-2026-32201，作为其 4 月份“补丁星期二”更新周期的一部分，该更新共修复了 169 个漏洞。

该漏洞影响本地部署的 SharePoint Server 版本，包括 2016、2019 和订阅版。美国网络安全和基础设施安全局 (CISA) 于 4 月 14 日将该漏洞添加到其关键漏洞报告 (KEV) 目录中，理由是已确认该漏洞已被积极利用，并发布了 2026 年 4 月 28 日的联邦修复期限。

CISA 迅速将关键事件漏洞 (KEV) 列入名单，与微软的补丁发布同步进行，这表明威胁行为者正积极针对未打补丁的 SharePoint 基础架构发起严重攻击。

这种模式与 2025 年的“ToolShell”漏洞利用活动类似，该活动利用一系列 SharePoint 漏洞 CVE-2025-49704 和 CVE-2025-49706 对数百名 SharePoint 客户进行了攻击。cybersecuritydive+1

Shadowserver基金会的扫描数据显示，截至2026年4月20日，仍有1370个未打补丁的IP地址暴露于CVE-2026-32201漏洞之下，这些漏洞已通过[此处应填写漏洞来源]和[此处应填写漏洞来源]进行追踪http_vulnerable。http_vulnerable6暴露系统的地理分布情况令人担忧：

• 北美：677 个 IP 地址（占比最大，其中美国占 587 个）
• 欧洲：452
• 亚洲：144
• 大洋洲：33
• 南美洲：33
• 非洲：31

全球地图数据显示，美国是SharePoint漏洞部署最集中的国家，加拿大也贡献了70个暴露的IP地址。欧洲的漏洞暴露情况也相当严重，德国、法国和英国均发现了聚集性漏洞。

尽管 CVSS 评级为“中等”，但 CVE-2026-32201 对任何运行面向互联网的本地 SharePoint 服务器的组织来说都构成严重风险。

由于该漏洞利用无需身份验证，因此无需任何凭据，任何可通过网络访问的 SharePoint 实例都可能成为攻击目标。利用该漏洞可能导致凭据窃取、数据泄露、未经授权的文档访问，以及潜在的横向移动，从而影响更广泛的企业网络。

缓解措施

各组织应立即采取以下措施：

• 为所有受支持的 SharePoint Server 版本（2016、2019、订阅版）应用 Microsoft 2026 年 4 月星期二补丁更新安全更新。
• 审核面向互联网的 SharePoint 部署，并尽可能限制其公开访问。
• 监控异常身份验证活动和伪造会话指标
• 参考 CISA 的 KEV 目录，并在 4 月 28 日联邦截止日期之前优先处理 CVE-2026-32201 的补救措施。
• 使用 Shadowserver 的免费扫描报告来识别网络边界内的脆弱资产。

补丁发布一周多后，仍有超过一千个易受攻击的系统暴露在外，运行本地 SharePoint Server 的组织面临着一个紧急的补救窗口，必须在威胁行为者升级其攻击活动之前进行补救。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《超过 1370 台 Microsoft SharePoint 服务器易受欺骗攻击，其安全漏洞已在网上曝光》