Een kritieke kwetsbaarheid in Microsoft SharePoint, die in januari werd gepatcht, wordt nu actief misbruikt in aanvallen. Dit meldt de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). De kwetsbaarheid, geregistreerd als CVE-2026-20963, treft SharePoint Enterprise Server 2016, SharePoint Server 2019 en SharePoint Server Subscription Edition. Door succesvolle exploitatie kunnen aanvallers zonder privileges op afstand code uitvoeren op niet-gepatchte servers via relatief eenvoudige aanvallen die misbruik maken van een zwakte in de deserialisatie van onbetrouwbare data.

Microsoft gaf bij het uitbrengen van de patch in januari aan dat een niet-geauthenticeerde aanvaller via een netwerkverbinding willekeurige code kan injecteren en uitvoeren op de SharePoint-server. Hoewel Microsoft de kwetsbaarheid recentelijk heeft bijgewerkt in hun advisories, heeft het bedrijf nog niet bevestigd dat de kwetsbaarheid in het wild wordt misbruikt. CISA heeft de kwetsbaarheid echter toegevoegd aan haar lijst van actief misbruikte kwetsbaarheden en heeft federale civiele uitvoerende agentschappen in de Verenigde Staten opgedragen hun servers uiterlijk 21 maart te patchen. Deze agentschappen omvatten onder meer het Department of Homeland Security, het Department of Energy, het Department of Justice en het Department of State.

CISA verstrekte geen verdere details over de lopende aanvallen met CVE-2026-20963 en heeft tot op heden geen bewijs gevonden dat de kwetsbaarheid wordt ingezet bij ransomware-aanvallen. Hoewel de patchplicht in eerste instantie geldt voor federale agentschappen, dringt CISA er bij alle netwerkbeheerders op aan om hun systemen zo snel mogelijk te voorzien van de patch. Volgens CISA vormt dit type kwetsbaarheid een veelvoorkomende aanvalsvector voor kwaadwillende cyberactoren en brengt het aanzienlijke risico’s met zich mee voor de federale infrastructuur. Het advies is om mitigaties volgens de instructies van de leverancier toe te passen, de richtlijnen van BOD 22-01 voor clouddiensten te volgen of het product niet meer te gebruiken als mitigaties ontbreken.

Daarnaast heeft CISA op woensdag ook federale agentschappen opgedragen een kwetsbaarheid voor stored cross-site scripting (XSS) in de Zimbra Collaboration Suite (ZCS) te patchen, die eveneens actief wordt misbruikt.