CVE-2025-53770

Microsoft SharePoint

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-07-20

Официальное описание

Microsoft SharePoint Server on-premises contains a deserialization of untrusted data vulnerability that could allow an unauthorized attacker to execute code over a network. This vulnerability could be chained with CVE-2025-53771. CVE-2025-53770 is a patch bypass for CVE-2025-49704, and the updates for CVE-2025-53770 include more robust protection than those for CVE-2025-49704.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-53770 представляет собой критическую уязвимость десериализации ненадежных данных в Microsoft SharePoint Server (on-premises). Злоумышленник, имеющий сетевой доступ к серверу, может отправить специально сформированный запрос, который при обработке приведет к удаленному выполнению произвольного кода (RCE) в контексте учетной записи службы SharePoint.

Данная уязвимость является обходом патча (patch bypass) для ранее обнаруженной CVE-2025-49704. Она особенно опасна тем, что может быть использована в цепочке с CVE-2025-53771 для повышения привилегий или обхода механизмов аутентификации. Основная проблема заключается в недостаточно строгой валидации типов объектов при десериализации данных, что позволяет атакующему манипулировать логикой выполнения приложения.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в рамках цикла Patch Tuesday.

  1. Определите версию вашего SharePoint Server (2016, 2019 или Subscription Edition).
  2. Скачайте соответствующий пакет обновления (KB) с портала Microsoft Security Update Guide.
  3. Установите обновление на все серверы в ферме.
  4. После установки обновлений безопасности обязательно запустите мастер настройки SharePoint (PSConfig) для завершения процесса обновления базы данных и компонентов.

Выполните следующую команду в SharePoint Management Shell для завершения обновления:

psconfig.exe -cmd setuphost -cmd upgrade -inplace b2b -force -wait -servicinghook:6a171e01-0758-4bb7-d6a3-dbf724c31917

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения риска эксплуатации:

  1. Ограничьте доступ к портам SharePoint (по умолчанию 80, 443 и порт Центра администрирования) только для доверенных сегментов сети и пользователей.
  2. Настройте правила Web Application Firewall (WAF) для блокировки подозрительных POST-запросов, содержащих сериализованные объекты в теле запроса или заголовках.
  3. Используйте принцип минимальных привилегий: убедитесь, что учетные записи служб SharePoint не обладают правами локального администратора на серверах.
  4. Включите расширенное логирование (Verbose) в службе Unified Logging Service (ULS) для мониторинга ошибок десериализации.

Проверка состояния установленных обновлений через PowerShell:

get-hotfix | where-object {$_.HotFixID -match "KB"}
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей