Amerykańska agencja CISA dopisała 18 marca 2026 r. do katalogu Known Exploited Vulnerabilities podatność CVE-2026-20963 w Microsoft SharePoint. To ważny sygnał dla firm i instytucji korzystających z lokalnych wdrożeń tej platformy, bo wpis do KEV oznacza, że luka jest już wykorzystywana w realnych atakach. Jednocześnie CISA wyznaczyła federalnym agencjom termin reakcji do 21 marca 2026 r..
Problem nie jest nowy sam w sobie. Microsoft ujawnił CVE-2026-20963 podczas styczniowego Patch Tuesday, 13 stycznia 2026 r. Z opisu w NVD wynika, że chodzi o deserializację niezaufanych danych w Microsoft Office SharePoint, co może prowadzić do wykonania kodu przez atakującego przez sieć. NVD przypisuje luce ocenę CVSS 8.8 i wskazuje wektor AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, a referencja prowadzi bezpośrednio do advisory Microsoftu.
W praktyce najważniejsze jest jednak nie to, jak brzmi opis podatności, ale tempo, w jakim podobne błędy przechodzą drogę od biuletynu producenta do aktywnej eksploatacji. SecurityWeek podał dziś, że CVE-2026-20963, załatana w styczniu, jest już wykorzystywana w środowiskach rzeczywistych. To klasyczny scenariusz, w którym organizacje odkładają wdrożenie poprawek, a atakujący wykorzystują okno między publikacją łatki a jej pełnym zastosowaniem.
Krytyczna luka CVE-2026-20963 w Microsoft SharePoint, załatana przez Microsoft w styczniu, trafiła właśnie do katalogu aktywnie wykorzystywanych podatności CISA. To kolejny dowód, że opóźnione wdrożenie poprawek może szybko zamienić techniczny biuletyn w realne ryzyko dla firm.
Dla wielu zespołów IT i bezpieczeństwa najistotniejsza lekcja brzmi więc prosto: załatane nie znaczy bezpieczne, jeśli aktualizacja nie została wdrożona na czas albo nie objęła wszystkich instancji. Katalog KEV nie jest zwykłą listą CVE. CISA używa go do wskazywania podatności, dla których istnieją wiarygodne dowody aktywnego wykorzystania, a sam wpis dla CVE-2026-20963 mówi wprost o luce typu „Microsoft SharePoint Deserialization of Untrusted Data Vulnerability”.
To istotne zwłaszcza dlatego, że SharePoint nadal jest mocno obecny w środowiskach on-premises, gdzie często pełni rolę ważnego elementu obiegu dokumentów, współpracy i procesów wewnętrznych. Podatność w takim systemie nie jest wyłącznie problemem „jednej aplikacji”, ale potencjalnym punktem wejścia do większego incydentu. Warto przy tym zaznaczyć uczciwie, że publicznie dostępnych szczegółów dotyczących samej kampanii ataków nadal jest niewiele; dzisiejsze doniesienia koncentrują się przede wszystkim na potwierdzeniu eksploatacji i pilności reakcji.
Z perspektywy firm ten przypadek znów pokazuje, że sam proces aktualizacji nie może być traktowany jako zadanie „na później”. Jeżeli producent publikuje poprawkę dla krytycznej podatności w kluczowym systemie, a kilka tygodni później CISA umieszcza ją w KEV, to znaczy, że czas reakcji staje się jednym z najważniejszych elementów obrony. Obok patchowania równie ważne są dziś: sprawdzenie ekspozycji, potwierdzenie wdrożenia poprawki na wszystkich serwerach i monitoring działań, które mogłyby wskazywać na wcześniejsze wykorzystanie luki.
Dla administratorów i decydentów wniosek jest niewygodny, ale jasny: największy problem często nie zaczyna się od samego CVE, tylko od opóźnienia między „łatka jest dostępna” a „łatka naprawdę działa już w naszym środowisku”. Dzisiejsza decyzja CISA wokół SharePointa to kolejne przypomnienie, że w 2026 roku przewagę zyskują nie tylko ci, którzy aktualizują, ale przede wszystkim ci, którzy robią to wystarczająco szybko.
