Aanvallers maken actief misbruik van een kwetsbaarheid in Microsoft SharePoint waardoor remote code execution (RCE) mogelijk is, zo waarschuwt het Amerikaanse cyberagentschap CISA. Dat heeft Amerikaanse overheidsinstanties opgedragen de beschikbare update binnen drie dagen te installeren, mocht dat nog niet zijn gedaan. Microsoft kwam op 13 januari van dit jaar met een beveiligingsupdate en was toen nog niet bekend met misbruik van het lek.

Bij de publicatie van het beveiligingsbulletin stelde Microsoft nog dat de kans dat aanvallers het beveiligingslek bij aanvallen zouden inzetten "less likely" was. Microsoft SharePoint wordt onder andere gebruikt voor het maken van websites, delen van informatie, opslag van bestanden en laat medewerkers van organisaties samenwerken aan documenten. De kwetsbaarheid betreft "deserialization of untrusted data". Daarbij kunnen aanvallers data aanpassen waarvan het systeem aanneemt dat het niet kan worden aangepast.

In het geval van de SharePoint-kwetsbaarheid (CVE-2026-20963) kan een aanvaller op afstand zo willekeurige code injecteren en uitvoeren op de SharePoint-server. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt dat aanvallers actief misbruik van het probleem maken, maar geeft geen details over de aanvallen.

Het CISA heeft de bevoegdheid om federale overheidsinstanties te verplichten updates voor actief aangevallen kwetsbaarheden binnen een bepaalde tijd te installeren. Normaliter wordt hiervoor een deadline van drie weken gehanteerd, in het geval van CVE-2026-20963 zijn overheidsinstanties opgedragen om de patch binnen drie dagen te installeren. SharePoint is vaker het doelwit van aanvallen geweest, onder andere tegen de Amerikaanse overheid.