2026 年 4 月 14 日,Microsoft 的 Patch Tuesday 發布清單中列入 CVE-2026-32201。同日下午,CISA 就把它加入 Known Exploited Vulnerabilities(KEV)目錄,並要求聯邦機關必須在 4 月 28 日前完成修補。根據本週 Shadowserver Foundation 的掃描結果,全球仍有超過 1,370 台面向網際網路的 SharePoint 伺服器尚未修補,仍處於暴露狀態。
距離期限只剩五天。這些伺服器中有一部分屬於全球財星 1000 大公司、有一部分屬於政府機關——而幾乎可以肯定,已經有一部分被入侵了。
真正壞掉的地方
CVE-2026-32201 是 Microsoft Office SharePoint Server 請求處理元件中的一個身份欺騙漏洞,根源是不當的輸入驗證(CWE-20)。攻擊者只要發出特製的網路請求,就能在未經身份驗證的情況下繞過認證檢查,冒充合法使用者。接下來,攻擊者能讀到該名使用者能讀的文件、寫到該名使用者能寫的文件。
受影響的產品是 SharePoint Server 2016、2019、以及 Subscription Edition——也就是地端部署的那一條產品線。Microsoft 365 上的 SharePoint Online 不在此列。這個細節很重要,因為地端 SharePoint 通常部署在「最無法忍受修補停機」的環境中:政府、受管制產業、製造業、醫療、法律。諷刺的是,SharePoint 內容最敏感的那些組織,正是此刻最可能還跑著有漏洞版本的組織。
Microsoft 已確認此漏洞正被實際利用。這個漏洞也已經開始被整合進非針對性的通用攻擊工具集,不再只是鎖定性行動才會出現。
為什麼「欺騙」比「遠端執行」更可怕
資安從業者聽到「欺騙漏洞、中等嚴重性、非 RCE」時,本能反應是先擱下來處理。但對這個特定漏洞來說,這個本能是錯的,理由有三。
第一,SharePoint 是一個身份目標。它位於多數大型企業的「身份 × 文件」信任網的正中央。攻擊者只要能說服系統它就是某個特定使用者,就能外洩文件、透過內部流程申請密碼重設、批准或拒絕存取請求、悄悄修改紀錄。這些全都是災難性後果,而且都不需要程式碼執行。
第二,SharePoint 是一個高度整合的系統。它的資料流向 Teams、Outlook、Power Automate、以及數十個第三方連接器。SharePoint 上的身份破口,往往等同於整個以 Microsoft 為中心的協作資產的身份破口。
第三,這不是一個孤立事件。同一週的 Patch Tuesday 修補了 163 個 CVE,其中包含一個先前已被揭露、類似 BlueHammer 的 Defender 權限提升漏洞,以及一整波 SharePoint 相關問題。一個透過 CVE-2026-32201 取得身份欺騙存取的攻擊者,不會止步於此,他會把漏洞鏈起來。
為什麼還有 1,370 台沒補
Shadowserver 的數字值得靜下來看一會。距離一個「已被確認實際利用」漏洞的美國聯邦修補期限只剩五天,公網上仍有超過 1,300 台 SharePoint 實例處於脆弱狀態。這不是技術問題——patch 存在、會修好、而且免費。這是組織問題。
這些組織中,有一部分根本不知道自己還在跑 SharePoint。有一部分知道,但把維運外包給了「本來就沒被付錢要跟著原廠時程修補」的 MSP。有一部分跑著高度客製化的 SharePoint farm,每一次 patch 都真的會有打壞某個主管日常仰賴流程的風險。而最誠實的那一部分,單純就是沒有任何一個人以「監控 CISA KEV 並採取行動」為職責。
這預告了 2026 年最沒人談、但最重要的資安故事:現在真正的瓶頸是「可見性」,不是「能力」。多數組織都有修復工具,多數組織不知道自己需要修復。
我的觀點
如果讓我從過去半年中挑一個漏洞向一群非技術背景的董事解釋,我會選 CVE-2026-32201。不是因為它最嚴重——它不是——而是因為它最具代表性。它是一個中等嚴重性的瑕疵,存在於一個無聊的、被廣泛部署的企業產品中,不需要身份驗證就能利用,已被實際使用,公開列管,有免費修補程式可用,而距離聯邦期限只剩五天時,公網上仍有一千三百台未修補的伺服器。
這不是一個關於 Microsoft 的故事。這是一個關於企業 IT 營運紀律正在慢速、安靜腐蝕的故事。每一個讀到這段的組織,都有一個 SharePoint——或類似 SharePoint 的東西:一套老 Exchange、一台日漸老化的 Oracle、一個被遺忘的 Jenkins。下個月的 CVE 編號會不同,底層的模式很可惜不會。
如果你的團隊裡沒有一個「被指名」的人負責盯 CISA KEV、負責在這些期限到期前把時鐘對上,那你在統計上就是那 1,370 台的其中之一。這個禮拜就把那個人選出來,在下週二到來之前。