微软在2026年4月的月度安全更新中确认SharePoint Server存在一个关键的0Day欺骗漏洞CVE-2026-32201正遭在野利用。该漏洞影响多个SharePoint Server版本CVSS基础评分为6.5重要级考虑到官方补丁已发布调整后的时序评分降至6.0。漏洞技术细节该漏洞源于Microsoft Office SharePoint的输入验证缺陷CWE-20允许未经认证的远程攻击者通过网络实施欺骗攻击。其攻击向量被归类为网络传播攻击复杂度低且无需特权或用户交互为企业SharePoint部署提供了低门槛的攻击入口。微软公告指出成功利用该漏洞可能导致攻击者查看部分敏感信息并篡改公开数据但不会影响目标资源的可用性。尽管对机密性和完整性的单独影响评级为低但由于无需认证且存在在野利用实际风险显著提升。在野利用态势微软安全公告将该漏洞标记为已检测到利用意味着补丁发布前已观测到实际攻击活动。漏洞利用代码成熟度标记为功能性报告可信度确认为已证实这一组合使该漏洞成为企业修补优先级之首。该漏洞在微软发布补丁前未公开披露表明威胁行为者可能已将其武器化为真正的0Day漏洞。微软已为所有三个受影响版本发布安全更新SharePoint Server订阅版——KB5002853Build 16.0.19725.20210SharePoint Server 2019——KB5002854Build 16.0.10417.20114SharePoint Enterprise Server 2016——KB5002861Build 16.0.5548.1003应急响应建议鉴于漏洞已遭在野利用企业应将以下更新视为紧急修补立即为所有受影响SharePoint Server版本安装相应安全更新审计SharePoint Server访问日志排查异常网络欺骗活动或认证模式在应用补丁前尽可能限制面向外部的SharePoint实例监控威胁情报源获取与在野利用活动相关的入侵指标IOCs确保未部署WAF规则或网络分段等额外防御措施的SharePoint实例不直接暴露于互联网作为全球部署最广泛的企业协作平台之一SharePoint Server始终是国家背景黑客和牟利型威胁组织的高价值目标。协作工具中的欺骗漏洞常被用作横向移动、凭证窃取或商业邮件入侵攻击的初始立足点。微软特别强调运行本地SharePoint部署尤其是2016或2019版本的企业应优先处理此补丁。微软同时感谢了安全社区就该漏洞开展的协同披露工作。