Nové zranitelnosti v katalogu CISA KEV – SharePoint RCE
CVE-2026-20963 (CVSS 8.8) je zranitelnost v Microsoft SharePoint Server kategorie deserializace nedůvěryhodných dat. SharePoint při zpracování určitých požadavků deserializuje objekty bez dostatečné validace jejich obsahu. Záměrně sestavený škodlivý payload – datová struktura v serializovaném formátu – tak může při deserializaci spustit libovolný kód v kontextu serverové aplikace. Útočník nepotřebuje platné přihlašovací údaje; k zneužití stačí síťový přístup k cílové instanci SharePointu. CISA potvrdila aktivní zneužití v reálných útocích.
SharePoint Server je v mnoha organizacích klíčovým místem pro sdílení dokumentů, interní komunikaci a business procesy. Instance jsou nezřídka dostupné z internetu nebo přístupné z nedůvěryhodných síťových segmentů, což zvyšuje reálný dosah zranitelnosti. Deserialization vulnerabilities jsou přitom výrazně jednoduší k zneužití než exploit chains vyžadující přesné podmínky – při dostupném proof-of-concept kódu je hranice mezi informovaností útočníků a aktivní vlnou útoků zpravidla velmi krátká.
Microsoft tuto zranitelnost opravil v bezpečnostní aktualizaci z března 2026.
Po instalaci záplaty bezpečnostní experti doporučují provést i rotaci hodnoty machineKey – tajného klíče, který SharePoint využívá mimo jiné pro ochranu serializovaných dat. V prostředích, kde k zneužití mohlo dojít před aplikací záplaty, je machineKey pravděpodobně kompromitován. Dalším doporučeným krokem je prohledání logů serveru na přítomnost web shellů nebo neočekávaného odchozího provozu, který může naznačovat postexploitační aktivitu.
Zdroj
Další články
EDPB spouští koordinovanou enforcement akci pro rok 2026: 25 dozorových úřadů prověří informační povinnosti správců
Google záplatuje dvě aktivně zneužívané zranitelnosti v Chrome – prohlížeče na bázi Chromium vyžadují okamžitou aktualizaci (2)
