CVE-2026-32201: wykorzystywany 0-day w SharePoint
SharePoint znów na celowniku: CVE-2026-32201 ma „tylko” 6.5 w CVSS, ale jest aktywnie wykorzystywany i w KEV. Idealny przykład, że wynik to nie wszystko.
W ramach kwietniowego „Patch Tuesday” 2026 Microsoft załatał rekordową liczbę podatności — i wśród nich aktywnie wykorzystywany 0-day w SharePoint Server: CVE-2026-32201. Ciekawostka, która niesie ważną lekcję: ta luka ma w CVSS zaledwie 6.5. A mimo to należy ją potraktować jako pilną.
Dlaczego niski wynik nie znaczy niskie ryzyko
CVE-2026-32201 to podatność typu spoofing w on-premowym SharePoint. Wynik 6.5 sugeruje „średnią” dotkliwość — ale CISA dodała ją do katalogu KEV i wyznaczyła instytucjom federalnym twardy termin usunięcia. Dlaczego? Bo liczy się nie teoretyczna ocena, lecz fakt aktywnego wykorzystania w atakach.
To dokładnie ta sytuacja, którą opisujemy przy priorytetyzacji podatności: sam wynik CVSS potrafi wprowadzić w błąd. Luka 9.8 w komponencie, którego nie używasz, jest mniej pilna niż „średnia” 6.5, którą ktoś właśnie wykorzystuje na Twoim serwerze wystawionym do internetu.
Dlaczego SharePoint jest atrakcyjnym celem
- On-premowe instancje bywają wystawione do internetu, żeby umożliwić pracę zdalną.
- Przechowuje dane — dokumenty, uprawnienia, integracje z resztą środowiska.
- Historia podatności sprawia, że atakujący dobrze znają ten cel i szybko dorabiają exploity.
Co zrobić
- Wgraj aktualizacje z kwietniowego Patch Tuesday dla SharePoint Server — priorytetowo dla instancji osiągalnych z internetu.
- Sprawdź ekspozycję — czy SharePoint musi być publicznie dostępny? Jeśli nie, ogranicz dostęp.
- Przejrzyj logi pod kątem prób wykorzystania i nietypowej aktywności.
- Wpnij KEV w swój proces — codzienne porównanie własnych komponentów z katalogiem aktywnie wykorzystywanych luk to jedna z najtańszych inwestycji w bezpieczeństwo.
Najważniejszy wniosek: nie priorytetyzuj wyłącznie po CVSS. Aktywna eksploatacja bije każdy wynik liczbowy. Jeśli chcesz ustawić proces łatania oparty na realnym ryzyku, skontaktuj się z nami.
Źródła i dalsza lektura: CISA KEV, MSRC, The Hacker News.