Laut der US-Sicherheitsbehörde CISA wird eine kürzlich gepatchte Schwachstelle im Microsoft SharePoint Server inzwischen aktiv für Angriffe genutzt. Die Lücke trägt die Kennung CVE-2026-20963 und wurde am 13. Januar offengelegt, als Microsoft seine Patch-Tuesday-Updates für Januar 2026 ausspielte.
Microsoft beschreibt das Problem in seinem Sicherheitshinweis als kritische Schwachstelle zur Remote-Code-Ausführung mit einem CVSS-Wert von 9.8. Ermöglicht wird sie durch die Deserialisierung nicht vertrauenswürdiger Daten. “Bei einem netzwerkbasierten Angriff könnte ein nicht authentifizierter Angreifer beliebigen Code schreiben, um Code aus der Ferne auf dem SharePoint Server einzuschleusen und auszuführen”, heißt es in der Mitteilung des Herstellers.
Von der Lücke betroffen sind SharePoint Server 2016, 2019 sowie die Subscription Edition. Gemeldet wurde die Schwachstelle laut Microsoft von einem anonymen Forscher.
CISA trug CVE-2026-20963 am 18. März in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) ein und wies US-Bundesbehörden an, das Problem bis zum 21. März zu beheben.
Bemerkenswert ist, dass Microsoft seinen Sicherheitshinweis zwar am 17. März aktualisiert hat, eine aktive Ausnutzung darin aber weiterhin nicht erwähnt. Zudem trägt die Lücke die Einschätzung “Ausnutzung weniger wahrscheinlich”. Öffentliche Informationen zu den Angriffen, die die Schwachstelle ausnutzen, liegen bislang nicht vor. SecurityWeek hat Microsoft um nähere Angaben gebeten.
Der KEV-Katalog der CISA umfasst derzeit neun SharePoint-Schwachstellen. Darunter sind drei im Jahr 2025 offengelegte Lücken, die mit den sogenannten ToolShell-Angriffen in Verbindung stehen.
