CISA
美國網路安全與基礎設施安全局(CISA)以少見的急迫速度,在微軟於4月14日揭露SharePoint漏洞CVE-2026-32201的同時,便將其納入已知遭利用漏洞清單(KEV),要求各機構立即修補,顯示此漏洞的風險正迅速升高。
這個SharePoint漏洞,是微軟4月例行更新修補的165個漏洞其中之一,屬於輸入驗證不當(Improper Input Validation)類型弱點,攻擊者一旦成功利用此漏洞,將能在未經授權下透過網路執行欺騙操作,會影響SharePoint伺服器訂閱版、SharePoint伺服器2019版與SharePoint Enterprise伺服器2016版,微軟已在更新中提供修補。
值得注意的是,這個CVE-2026-32201漏洞的CVSS嚴重性評分為6.5分,微軟對其危險程度評為重要(Important)等級, 在這次修補的165個漏洞中,只排在中後段,但微軟在公告中提及此漏洞可被利用(Exploited),且已偵測到利用(Exploitation Detected),顯示該漏洞可能在微軟揭露前即已遭實際利用,因而其風險與急迫性明顯高於CVSS評分對應的等級。其他資安業者也有同樣的觀察,例如在Zero Day Initiative網站對微軟4月例行更新的評論與列表中,便將此漏洞放在165個漏洞的首位,超越其他CVSS分數與危險程度更高的漏洞。專精漏洞管理產品的廠商Tenable,在評論微軟4月更新的文章中,也將此漏洞的重要性置於前兩位。 綜合多方看法,或許可以解釋微軟發布漏洞公告時,CISA當天便同步列為需優先修補的漏洞。
SharePoint漏洞CVE-2026-32201的 CVSS評分與嚴重性等級,在微軟4月更新修補的165個漏洞中,只排在中後段,但由於揭露時便已遭實際利用,其風險與急迫性明顯高於CVSS評分對應的等級。 Zero Day Initiative與Tenable等資安業者都將其置於微軟這次修補漏洞的首位,超過其他CVSS分數更高的漏洞。
圖片來源:Zero Day Initiative ,Tenable
