CVE-2026-32201 là một lỗ hổng zero-day spoofing trong Microsoft SharePoint Server đang bị khai thác tích cực trong thực tế. Microsoft xác nhận vấn đề này vào ngày 14/04/2026 trong chu kỳ cập nhật bảo mật hàng tháng, và đã phát hành bản vá cho các phiên bản bị ảnh hưởng.
Được theo dõi dưới mã CVE-2026-32201, lỗi này ảnh hưởng đến nhiều phiên bản SharePoint Server. Theo bản ghi tham chiếu, lỗ hổng CVE này có CVSS base score 6.5 ở mức Important, với temporal score 6.0 do đã có bản sửa chính thức.
Thông tin tham chiếu có thể xem tại Microsoft Security Response Center và NVD.
Nguyên nhân kỹ thuật
Lỗ hổng CVE này xuất phát từ improper input validation (CWE-20) trong Microsoft Office SharePoint. Kẻ tấn công không cần xác thực có thể thực hiện spoofing attack qua mạng.
Với Attack Vector: Network, Attack Complexity: Low, không cần quyền đặc biệt và không cần tương tác từ người dùng, lỗ hổng CVE tạo ra điểm vào có rào cản thấp cho các đối tượng tấn công nhắm vào triển khai SharePoint doanh nghiệp.
Tác động bảo mật
Theo advisory của Microsoft, khai thác thành công có thể cho phép kẻ tấn công xem một phần thông tin nhạy cảm và can thiệp vào dữ liệu đã công bố. Tuy nhiên, tính sẵn sàng của tài nguyên mục tiêu không bị ảnh hưởng.
Dù mức ảnh hưởng riêng lẻ lên confidentiality và integrity chỉ ở mức thấp, việc không cần xác thực và đã có xác nhận khai thác thực tế khiến lỗ hổng CVE này có nguy cơ bảo mật cao hơn trong môi trường sản xuất.
Trạng thái khai thác và mức độ ưu tiên vá lỗi
Microsoft đánh dấu lỗ hổng CVE-2026-32201 ở trạng thái “Exploitation Detected”, nghĩa là các cuộc tấn công thực tế đã được quan sát trước khi bản vá được phát hành.
Exploit code maturity được gắn nhãn Functional, còn report confidence ở mức Confirmed. Đây là tổ hợp thông tin cho thấy lỗ hổng CVE cần được đưa lên hàng đầu trong danh sách ưu tiên cập nhật bản vá.
Việc chưa được công bố rộng rãi trước khi Microsoft phát hành bản vá cho thấy đây có thể là một zero-day vulnerability đã bị vũ khí hóa trước khi quá trình tiết lộ phối hợp hoàn tất.
- SharePoint Server 2016
- SharePoint Server 2019
- SharePoint Server Subscription Edition
Tất cả các bản cập nhật đều được phát hành vào 14/04/2026, và Microsoft yêu cầu khách hàng hành động ngay đối với từng sản phẩm bị ảnh hưởng. Đây là một cảnh báo CVE cần xử lý như bản vá khẩn cấp.
SharePoint Server là nền tảng cộng tác doanh nghiệp được triển khai rộng rãi, nên trở thành mục tiêu có giá trị cao trong các cuộc tấn công mạng. Với đặc tính spoofing trong môi trường cộng tác, kẻ tấn công có thể dùng lỗ hổng CVE này làm bàn đạp ban đầu cho lateral movement, credential harvesting hoặc các kịch bản business email compromise.
Các hệ thống SharePoint on-premises, đặc biệt là phiên bản 2016 và 2019, nên ưu tiên triển khai bản vá ngay do đã có xác nhận khai thác zero-day trong thực tế.
Điểm đáng chú ý trong advisory
- CVE: CVE-2026-32201
- CWE: CWE-20
- CVSS base score: 6.5
- Temporal score: 6.0
- Trạng thái: Exploitation Detected
- Exploit maturity: Functional
- Report confidence: Confirmed
Khuyến nghị xử lý lỗ hổng CVE
Tổ chức đang vận hành SharePoint tại chỗ cần coi đây là một cảnh báo CVE khẩn cấp và triển khai bản vá bảo mật ngay sau khi xác minh môi trường bị ảnh hưởng. Việc trì hoãn có thể làm tăng rủi ro an toàn thông tin do lỗ hổng đã được xác nhận khai thác ngoài thực địa.
Nếu hệ thống đang chạy SharePoint Server 2016, SharePoint Server 2019 hoặc SharePoint Server Subscription Edition, cần kiểm tra trạng thái cập nhật, đối chiếu với advisory của Microsoft và đảm bảo các gói vá đã được áp dụng đầy đủ.
