Критически опасные уязвимости в Microsoft SharePoint Server: CVE-2025-53770, CVE-2025-49706, CVE-2025-49704

Описание

Уязвимости могут позволить без аутентификации выполнить произвольные команды в Microsoft SharePoint Server. Для эксплуатации используется обход аутентификации при помощи HTTP-запроса к сервису `ToolPane.aspx` с подмененным заголовком `Referer` (что и позволяет расценивать запрос как аутентифицированный). Далее на сервер передается `spinstall0.aspx` — файл, который извлекает криптографические ключи `ValidationKey` и `DecryptionKey`. Эти ключи используются SharePoint для подписи `__VIEWSTATE`, с их помощью злоумышленник может создавать легитимные объекты `__VIEWSTATE`, позволяющие добиться удаленного выполнения вредоносного кода. Фиксируются попытки эксплуатации данных уязвимостей «в дикой природе».

Рейтинг

По CVSS 3.1 уязвимости получили оценки 9,8 (CVE-2025-53770), 8,8 (CVE-2025-49704), 7,1(CVE-2025-49706).

Уязвимые версии и продукты

• Microsoft SharePoint Server Subscription Edition ниже 16.0.18526.20508;
• Microsoft SharePoint Server 2019 ниже 16.0.10417.20037;
• Microsoft SharePoint Enterprise Server 2016 ниже 16.0.5513.1001.

Рекомендации

Специалисты центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям выполнить следующие действия:

• В соответствии с рекомендацией производителя обновить затронутое программное обеспечение до любой из поддерживаемых версий.
• Сгенерировать новые криптографические ключи, используя официальное руководство.
• Проверить актуальность подписки на модуль Security updates.
• Добавить в блокирующее правило IDPS-сигнатуру Microsoft SharePoint Server Remote Code Execution Vulnerability.