美国网络安全和基础设施安全局（CISA）将微软SharePoint漏洞CVE-2026-20963列入已知被利用漏洞（KEV）清单。微软已于1月13日发布安全更新修复该漏洞，但CISA于3月18日将其列入KEV，表明该漏洞已被实际利用，企业应提高补丁更新和资产盘点的优先级。

CVE-2026-20963是微软SharePoint反序列化不可信数据漏洞，影响SharePoint Server 2016、SharePoint Server 2019以及SharePoint Server订阅版。具备授权身份的攻击者可通过网络利用该漏洞，在SharePoint服务器上执行代码。根据公开漏洞数据，该漏洞CVSS 3.1基础评分为8.8，属于高风险等级，对机密性、完整性和可用性均有重大影响。微软1月发布的安全更新对应版本分别为16.0.5535.1001、16.0.10417.20083和16.0.19127.20442。

主要受影响产品为企业自建的SharePoint Server版本，包括SharePoint Server 2016、SharePoint Server 2019和SharePoint Server订阅版，影响范围集中在本地部署环境。