Przejdź do treści
Breachroad
Wróć do bloga
Podatności

CVE-2026-32201: wykorzystywany 0-day w SharePoint

SharePoint znów na celowniku: CVE-2026-32201 ma „tylko” 6.5 w CVSS, ale jest aktywnie wykorzystywany i w KEV. Idealny przykład, że wynik to nie wszystko.

KR
Karol Rapacz
15 kwietnia 2026 · 5 min czytania
CVE-2026-32201: wykorzystywany 0-day w SharePoint

W ramach kwietniowego „Patch Tuesday” 2026 Microsoft załatał rekordową liczbę podatności — i wśród nich aktywnie wykorzystywany 0-day w SharePoint Server: CVE-2026-32201. Ciekawostka, która niesie ważną lekcję: ta luka ma w CVSS zaledwie 6.5. A mimo to należy ją potraktować jako pilną.

Dlaczego niski wynik nie znaczy niskie ryzyko

CVE-2026-32201 to podatność typu spoofing w on-premowym SharePoint. Wynik 6.5 sugeruje „średnią” dotkliwość — ale CISA dodała ją do katalogu KEV i wyznaczyła instytucjom federalnym twardy termin usunięcia. Dlaczego? Bo liczy się nie teoretyczna ocena, lecz fakt aktywnego wykorzystania w atakach.

To dokładnie ta sytuacja, którą opisujemy przy priorytetyzacji podatności: sam wynik CVSS potrafi wprowadzić w błąd. Luka 9.8 w komponencie, którego nie używasz, jest mniej pilna niż „średnia” 6.5, którą ktoś właśnie wykorzystuje na Twoim serwerze wystawionym do internetu.

Dlaczego SharePoint jest atrakcyjnym celem

  • On-premowe instancje bywają wystawione do internetu, żeby umożliwić pracę zdalną.
  • Przechowuje dane — dokumenty, uprawnienia, integracje z resztą środowiska.
  • Historia podatności sprawia, że atakujący dobrze znają ten cel i szybko dorabiają exploity.

Co zrobić

  1. Wgraj aktualizacje z kwietniowego Patch Tuesday dla SharePoint Server — priorytetowo dla instancji osiągalnych z internetu.
  2. Sprawdź ekspozycję — czy SharePoint musi być publicznie dostępny? Jeśli nie, ogranicz dostęp.
  3. Przejrzyj logi pod kątem prób wykorzystania i nietypowej aktywności.
  4. Wpnij KEV w swój proces — codzienne porównanie własnych komponentów z katalogiem aktywnie wykorzystywanych luk to jedna z najtańszych inwestycji w bezpieczeństwo.

Najważniejszy wniosek: nie priorytetyzuj wyłącznie po CVSS. Aktywna eksploatacja bije każdy wynik liczbowy. Jeśli chcesz ustawić proces łatania oparty na realnym ryzyku, skontaktuj się z nami.


Źródła i dalsza lektura: CISA KEV, MSRC, The Hacker News.

Udostępnij artykuł

Usługi Umów konsultację