CISA upozorava na napade koji koriste SharePoint ranjivost CVE-2026-20963
CISA je upozorila da se u napadima već koristi SharePoint ranjivost CVE-2026-20963, iako je Microsoft zakrpu objavio još u januaru 2026. Reč je o kritičnom remote code execution propustu sa ocenom CVSS 9.8, izazvanom deserializacijom nepouzdanih podataka. Ranjivost pogađa SharePoint Server 2016, 2019 i Subscription Edition, a Microsoft navodi da neautentifikovani napadač preko mreže može upisati i izvršiti proizvoljan kod na ranjivom serveru. CISA je 18. marta dodala ovu oznaku u KEV katalog i naložila federalnim agencijama da problem otklone do 21. marta. U trenutku objave nema javnih tehničkih detalja o konkretnim napadima, a Microsoft u svom advisori-ju i dalje ne navodi aktivnu eksploataciju.
Ovo je važna vest jer pokazuje poznat obrazac: zakrpa postoji, ali napadi kreću pre nego što svi sistemi budu ažurirani. Za organizacije koje i dalje koriste on-prem SharePoint, posebno javno izložene ili slabo segmentirane instance, ovakav propust predstavlja direktan rizik od potpunog kompromitovanja servera i mogućeg daljeg kretanja kroz mrežu.
- Odmah proveriti da li su SharePoint Server 2016, 2019 i Subscription Edition sistemi zakrpljeni za CVE-2026-20963
- Ako zakrpa još nije primenjena, hitno ograničiti izloženost SharePoint servera prema mreži i internetu
- Pregledati logove i telemetry podatke za znakove neautorizovanog izvršavanja koda ili sumnjivih zahteva ka SharePoint instancama
- Potvrditi segmentaciju i privilegije сервера kako bi se smanjile posledice eventualne kompromitacije
- Pratiti dalja Microsoft i CISA obaveštenja zbog mogućeg objavljivanja dodatnih indikatora kompromitacije ili tehničkih detalja