De Amerikaanse cybersecurityorganisatie CISA waarschuwt voor aanvallen die misbruik maken van een recent gepatchte kwetsbaarheid in Microsoft SharePoint. De kwetsbaarheid, geregistreerd als CVE-2026-20963, werd op 13 januari 2026 openbaar gemaakt toen Microsoft zijn Patch Tuesday updates uitbracht. CISA voegde deze kwetsbaarheid op 18 maart toe aan zijn catalogus van Known Exploited Vulnerabilities (KEV) en gaf federale instanties de opdracht om de patch uiterlijk 21 maart te implementeren.

Microsoft omschrijft de kwetsbaarheid als een kritieke remote code execution-fout met een CVSS-score van 9,8, veroorzaakt door het deserialiseren van niet-vertrouwde data. De fout treft SharePoint Server 2016, 2019 en Subscription Edition en werd gemeld door een anonieme onderzoeker. Volgens Microsoft kan een niet-geauthenticeerde aanvaller via een netwerkverbinding willekeurige code schrijven en op afstand uitvoeren op de SharePoint-server. Hoewel Microsoft zijn advisering op 17 maart bijwerkte, vermeldt het nog geen actieve exploitatie. De exploitability assessment blijft ‘exploitation less likely’ en er is geen publieke informatie over de aanvallen beschikbaar.