Dins del Patch Tuesday d’abril de 2026, Microsoft va corregir un error a SharePoint Server que ja s’estava explotant quan va sortir el pegat. Es tracta de CVE-2026-32201, una vulnerabilitat de spoofing que Microsoft va etiquetar com a “Exploitation Detected”, és a dir, hi havia evidència d’atacs en curs abans que existís cap solució pública.
Què és la vulnerabilitat
El problema és a la validació d’entrada de Microsoft Office SharePoint Server. Una validació insuficient permet a un atacant fer atacs de suplantació a través de la xarxa. Segons l’avís de Microsoft, qui l’exploti amb èxit pot veure part de la informació sensible que gestiona el servidor i modificar dades que es mostren a la víctima. A la pràctica afecta la confidencialitat i la integritat, però no li dóna control total del recurs ni el deixa inaccessible.
La puntuació CVSS és 6.5, una severitat mitjana. No és el típic RCE crític que trenca un servidor d’un sol cop. El detall que ho canvia tot és que estava en explotació activa. Un error mitjà amb exploits funcionant al carrer pesa més que un crític teòric que ningú no ha tocat encara.
A qui afecta
L’objectiu és Microsoft SharePoint Server, el producte que moltes organitzacions fan servir com a intranet, gestor documental i portal de col·laboració. El risc es concentra als servidors SharePoint exposats a internet. Un servidor intern darrere de la xarxa corporativa té una superfície d’atac molt més petita, però les instal·lacions accessibles des de fora són l’objectiu directe d’aquest tipus de campanyes.
SharePoint corre sobre Windows Server, així que qui mantingui una granja de SharePoint de cara enfora hauria de tractar aquest pegat com a prioritari. Si gestiones la base sobre la qual s’assenta, repassa també les notes de seguretat de Windows Server.
Gravetat i context
Aquest CVE no va arribar sol. Va formar part d’un dels Patch Tuesday més carregats de la història de Microsoft, amb 167 errors corregits el 14 d’abril de 2026 i dos zero-days. L’altre zero-day d’aquella tanda era una escalada a SYSTEM a Microsoft Defender, divulgada públicament però sense explotació confirmada. CVE-2026-32201 és el que sí que s’estava fent servir.
La diferència importa a l’hora de prioritzar. Un atac de spoofing a SharePoint pot servir com una peça d’una cadena més llarga: enganyar un usuari sobre l’origen d’un contingut, exposar informació que hauria d’estar restringida o manipular el que veu la víctima per preparar el pas següent. No cal que l’error tot sol lliuri el servidor perquè sigui útil a un atacant.
Mitigació i pegat
L’acció és directa: aplicar l’actualització de seguretat d’abril de 2026 per a la teva versió de SharePoint Server. Microsoft no ofereix cap mitigació alternativa que substitueixi el pegat, així que la recomanació és desplegar-lo com més aviat millor, començant pels servidors exposats a internet.
Si la teva organització té un procés de proves abans de passar pegats a producció, aquest és un cas per escurçar terminis. La combinació d’explotació activa i servidors de cara al públic no deixa gaire marge. Mentre despleguis, convé revisar els registres buscant accessos o peticions anòmales cap a les instàncies de SharePoint, per si ja hi va haver intents.