CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2025-53770

RCE przez deserialization w Microsoft SharePoint Server (on-premises)

CVSS 9.8v3.1pub. 2025-07-20upd. 2025-10-27

Krytyczna podatność w lokalnych instalacjach Microsoft SharePoint Server umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) przez sieć. Microsoft potwierdził aktywne wykorzystywanie exploit w środowiskach produkcyjnych.

Pokaż oryginał (EN)

Deserialization of untrusted data in on-premises Microsoft SharePoint Server allows an unauthorized attacker to execute code over a network. Microsoft is aware that an exploit for CVE-2025-53770 exists in the wild. Microsoft is preparing and fully testing a comprehensive update to address this vulnerability. In the meantime, please make sure that the mitigation provided in this CVE documentation is in place so that you are protected from exploitation.

🤖 Analiza AI
Jak działa

Podatność wynika z niebezpiecznej deserializacji niezaufanych danych (CWE-502) w Microsoft SharePoint Server. Atakujący może przesłać specjalnie spreparowany payload przez sieć do podatnego serwera bez konieczności posiadania jakichkolwiek poświadczeń ani interakcji użytkownika. Podczas przetwarzania przesłanych danych serwer deserializuje je w sposób niekontrolowany, co prowadzi do wykonania dowolnego kodu w kontekście serwera.

Skutki

Atakujący bez uwierzytelnienia może zdalnie wykonać dowolny kod na serwerze SharePoint, co w praktyce oznacza pełne przejęcie kontroli nad serwerem — naruszenie poufności, integralności oraz dostępności danych.

Mitygacja

Pełna aktualizacja jest w przygotowaniu przez Microsoft. Do czasu jej wydania należy NATYCHMIAST zastosować tymczasowe środki mitygacji opisane w dokumentacji producenta: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770 oraz https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/. Po opublikowaniu patcha należy niezwłocznie go wdrożyć.

Kogo dotyczy

Lokalne (on-premises) instalacje Microsoft SharePoint Server — dokładne wersje wskazane w referencjach producenta (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770).

Uwagi

Microsoft potwierdził istnienie działającego exploit w środowisku produkcyjnym (in the wild). Podatność figuruje w katalogu CISA KEV. Publicznie dostępny kod exploit został opublikowany w repozytorium GitHub (github.com/kaizensecurity/CVE-2025-53770). Dotyczy wyłącznie instalacji on-premises — SharePoint Online (Microsoft 365) nie jest podatny.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Microsoft SharePoint Server

    APP
    Microsoft
    20162019< 16.0.18526.20508

CISA KEV — szczegółyi

Dostawcai
Microsoft
Produkti
SharePoint
Data dodania do KEVi
20 lipca 2025
Termin remediation (USA)i
21 lipca 2025(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Odłącz publiczne wersje SharePoint Server, które osiągnęły koniec życia (EOL) lub koniec wsparcia (EOS), włącznie z SharePoint Server 2013 i wcześniejszymi wersjami. W przypadku obsługiwanych wersji przestrzegaj mitygacji zgodnie z wytycznymi CISA (URL podany poniżej w Notatkach) oraz instrukcji producenta (URL podany poniżej w Notatkach). Zastosuj się do odpowiednich wytycznych BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Disconnect public-facing versions of SharePoint Server that have reached their end-of-life (EOL) or end-of-service (EOS) to include SharePoint Server 2013 and earlier versions. For supported versions, please follow the mitigations according to CISA (URL listed below in Notes) and vendor instructions (URL listed below in Notes). Adhere to the applicable BOD 22-01 guidance for cloud services or discontinue use of the product if mitigations are not available.

Opis CISAi

Microsoft SharePoint Server on-premises zawiera lukę podatności deserializacji niezaufanych danych, która może pozwolić nieautoryzowanemu atakującemu na zdalne wykonanie kodu. Ta podatność może być połączona z CVE-2025-53771. CVE-2025-53770 jest obejściem patcha dla CVE-2025-49704, a aktualizacje dla CVE-2025-53770 zawierają bardziej solidną ochronę niż te dla CVE-2025-49704.

tłumaczenie AI
Pokaż oryginał (EN)

Microsoft SharePoint Server on-premises contains a deserialization of untrusted data vulnerability that could allow an unauthorized attacker to execute code over a network. This vulnerability could be chained with CVE-2025-53771. CVE-2025-53770 is a patch bypass for CVE-2025-49704, and the updates for CVE-2025-53770 include more robust protection than those for CVE-2025-49704.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 21 lipca 2025
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2026-20963CRITICAL9.8⚠ KEVPL ✓ten sam produkt

RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server

CVE-2023-29357CRITICAL9.8⚠ KEVten sam produkt

Microsoft SharePoint Server Elevation of Privilege Vulnerability

CVE-2019-0604CRITICAL9.8⚠ KEVten sam produkt

A remote code execution vulnerability exists in Microsoft SharePoint when the software fails to check the sour...

CVE-2024-33879CRITICAL9.8PL ✓ten sam produkt

Path traversal w Virto Bulk File Download dla SharePoint — pobieranie i usuwanie plików

CVE-2023-21716CRITICAL9.8ten sam produkt

Microsoft Word Remote Code Execution Vulnerability