Microsoft 解决关键 SharePoint 漏洞:CVE-2025-53770
今天早上,微软发布了关于 SharePoint 中一个严重漏洞的警报,网络犯罪分子正在积极利用该漏洞。该漏洞编号为 CVE-2025-53770,允许未经授权的用户在本地 SharePoint 服务器上远程执行任意代码,而无需身份验证。
漏洞和补丁状态概述
Microsoft Defender 漏洞管理团队深知情况紧急,并已发布针对受影响漏洞影响及修复策略的全面指南。除 CVE-2025-53770 外,该指南还包含先前已修补的漏洞 CVE-2025-49704 和 CVE-2025-49706 的信息,以及针对 CVE-2025-53771 的持续修补工作。
主要漏洞详情
| 常见漏洞 | 类型 | CVSS v3.1 | 补丁状态 |
|---|---|---|---|
| CVE-2025-49704 | 代码生成控制不当→已验证的RCE | 8.8(高) | 已在2025 年 7 月 8 日的安全更新中修复- 订阅版 KB 5002768、SharePoint Server 2019 KB 5002741、SharePoint Server 2016 KB 5002744。Microsoft支持 |
| CVE-2025-49706 | 不正确的身份验证/欺骗 | 6.3(中等) | 已在 2025 年 7 月 8 日的更新(KB 5002768 / 5002741 / 5002744) 中修复。Microsoft支持 |
| CVE-2025-53770 | 不受信任数据的反序列化→未经身份验证的 RCE | 9.8(严重) | 订阅版 KB 5002768 和 SharePoint 2019 KB 5002754紧急补丁已发布; SharePoint 2016 补丁正在等待发布。Microsoft安全响应中心 |
| CVE-2025-53771 | 路径遍历/欺骗 | 6.3(中等) | 通过与CVE-2025-53770(SE KB 5002768、2019 KB 5002754)相同的紧急更新解决; SharePoint 2016 即将发布修复程序。Microsoft安全响应中心 |
受影响的产品
| 产品 | CVE-2025-49704 | CVE-2025-49706 | CVE-2025-53770 | CVE-2025-53771 |
|---|---|---|---|---|
| SharePoint 服务器订阅版 | ✅ 受影响 | ✅ 受影响 | ✅ 受影响 | ✅ 受影响 |
| SharePoint 服务器 2019 | ✅ 受影响 | ✅ 受影响 | ✅ 受影响 | ✅ 受影响 |
| SharePoint 服务器 2016 | ✅ 受影响 | ✅ 受影响 | ✅ 受影响 | ✅ 受影响 |
| SharePoint 在线 | ❌不受影响 | ❌不受影响 | ❌不受影响 | ❌不受影响 |
如需更多见解和深入信息,您可以访问 Microsoft 技术社区网站上的官方博客文章。
发表回复