Описание
Уязвимости могут позволить без аутентификации выполнить произвольные команды в Microsoft SharePoint Server. Для эксплуатации используется обход аутентификации при помощи HTTP-запроса к сервису `ToolPane.aspx` с подмененным заголовком `Referer` (что и позволяет расценивать запрос как аутентифицированный). Далее на сервер передается `spinstall0.aspx` — файл, который извлекает криптографические ключи `ValidationKey` и `DecryptionKey`. Эти ключи используются SharePoint для подписи `__VIEWSTATE`, с их помощью злоумышленник может создавать легитимные объекты `__VIEWSTATE`, позволяющие добиться удаленного выполнения вредоносного кода. Фиксируются попытки эксплуатации данных уязвимостей «в дикой природе».
Рейтинг
По CVSS 3.1 уязвимости получили оценки 9,8 (CVE-2025-53770), 8,8 (CVE-2025-49704), 7,1(CVE-2025-49706).
Уязвимые версии и продукты
- Microsoft SharePoint Server Subscription Edition ниже 16.0.18526.20508;
- Microsoft SharePoint Server 2019 ниже 16.0.10417.20037;
- Microsoft SharePoint Enterprise Server 2016 ниже 16.0.5513.1001.
Рекомендации
Специалисты центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям выполнить следующие действия:
- В соответствии с рекомендацией производителя обновить затронутое программное обеспечение до любой из поддерживаемых версий.
- Сгенерировать новые криптографические ключи, используя официальное руководство.
- Проверить актуальность подписки на модуль Security updates.
- Добавить в блокирующее правило IDPS-сигнатуру Microsoft SharePoint Server Remote Code Execution Vulnerability.
UserGate