TI - CVE-2026-20963 - Microsoft SharePoint Remote Code Execution Vulnerability

Beschreibung:

Das BSI veröffentlichte am 25.03.2026 eine IT-Sicherheitsmitteilung zu einer kritischen Schwachstelle in Microsoft SharePoint und verweist dabei auf die aktive Ausnutzung sowie auf die Aufnahme in den CISA-KEV-Katalog am 18.03.2026. Microsoft hatte die Schwachstelle bereits am 13.01.2026 im Rahmen des Januar-Patchdays bekanntgegeben, zu diesem Zeitpunkt aber noch ohne bestätigte Angriffe. Laut den ursprünglichen Informationen war die Ausnutzung der Schwachstelle nur für authentifizierte Benutzer möglich, dies wurde durch Microsoft nachträglich auf eine unauthentifizierte Ausnutzung angepasst. Die primäre Schwachstelle CVE-2026-20963 ist eine Deserialisierungs-Schwachstelle in Microsoft Office SharePoint, die laut NVD und BSI zur Remote Code Execution führen kann. Das BSI bewertet den CVSS-v3.1-Score mit 9.8; NVD führt für dieselbe Schwachstelle derzeit 8.8 für das ursprüngliche Microsoft-Scoring aus.

Betroffene Systeme:

• Microsoft SharePoint Server Subscription Edition  <16.0.19127.20442
• Microsoft SharePoint Server 2019 Build Nummer <16.0.10417.20083
• Microsoft SharePoint Enterprise Server 2016  <16.0.5535.1001
  

Behobene Versionen:

• Microsoft SharePoint Server Subscription Edition - 16.0.19127.20442 
• Microsoft SharePoint Server 2019 - 16.0.10417.20083 
• Microsoft SharePoint Enterprise Server 2016 - 16.0.5535.1001

Empfohlene Maßnahmen:

IT-Sicherheitsverantwortliche und Betreiber von Microsoft SharePoint Instanzen sollten schnellstmöglich mindestens die seit Januar verfügbaren Patches installieren. Mittlerweile bietet der Hersteller jedoch auch weitere Patches für kürzlich bekannt gewordene Schwachstellen an. Betreiber sollten daher auf die neusten Versionen aktualisieren und die im März Patchday adressierten Sicherheitslücken in Microsoft SharePoint ebenfalls schließen. 

Einschätzung der Bedrohung:

Die Schwachstelle ist durch CISA im KEV-Katalog gelistet und damit als in freier Wildbahn ausgenutzt bestätigt. Microsoft SharePoint ist für Angreifer besonders attraktiv, da exponierte Kollaborationsplattformen häufig externe Zugriffe, sensible Inhalte und privilegierte Integrationen vereinen. Nach den vorliegenden Quellen ist die relevante Exploit-Kette eine Remote Code Execution auf Basis der Deserialisierungs-Schwachstelle; weitere CVEs, die zu einer verifizierten Kette gehören, werden in den geprüften Quellen nicht genannt. Mit der öffentlichen Bestätigung und der breiten Verfügbarkeit von Advisory-Informationen steigt nun das Risiko von Angriffen gegen ungepatchte SharePoint-Installationen. Organisationen mit internetexponierten SharePoint-Servern sollten daher kurzfristig priorisieren.

Weiterführende Links:

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2026/2026-238220-1032.pdf?__blob=publicationFile&v=3
https://www.cert.europa.eu/publications/security-advisories/2026-004/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20963