美國網路安全暨基礎設施安全局(CISA)將微軟SharePoint漏洞CVE-2026-20963列入已知遭利用漏洞(KEV)清單。微軟已於1月13日發布安全更新修補此漏洞,但CISA在3月18日將其列入KEV,代表已有遭實際利用的證據,企業應提高修補與資產盤點優先度。
CVE-2026-20963為Microsoft SharePoint反序列化不可信任資料漏洞,影響SharePoint Server 2016、SharePoint Server 2019,以及SharePoint Server Subscription Edition。具備授權身分的攻擊者可透過網路利用此漏洞,在SharePoint伺服器上執行程式碼。依公開漏洞資料,該漏洞CVSS 3.1基礎分數為8.8,屬於高風險等級(High),對機密性、完整性與可用性皆有高衝擊。微軟1月發布的安全更新對應版本分別為16.0.5535.1001、16.0.10417.20083與16.0.19127.20442。
主要受影響產品為企業自行管理的SharePoint Server版本,包括SharePoint Server 2016、SharePoint Server 2019,以及SharePoint Server Subscription Edition,範圍集中在本地端部署環境。
