Microsoft 解決關鍵 SharePoint 漏洞:CVE-2025-53770
今天早上,微軟發布了關於 SharePoint 中一個嚴重漏洞的警報,網路犯罪分子正在積極利用該漏洞。此漏洞編號為 CVE-2025-53770,允許未經授權的使用者在本機 SharePoint 伺服器上遠端執行任意程式碼,而無需驗證。
漏洞和補丁狀態概述
Microsoft Defender 漏洞管理團隊深知狀況緊急,並已發布針對受影響漏洞影響及修復策略的全面指南。除 CVE-2025-53770 外,該指南還包含先前已修補的漏洞 CVE-2025-49704 和 CVE-2025-49706 的訊息,以及針對 CVE-2025-53771 的持續修補工作。
主要漏洞詳情
| 常見漏洞 | 類型 | CVSS v3.1 | 補丁狀態 |
|---|---|---|---|
| CVE-2025-49704 | 代碼產生控制不當→已驗證的RCE | 8.8(高) | 已在2025 年 7 月 8 日的安全性更新中修復- 訂閱版 KB 5002768、SharePoint Server 2019 KB 5002741、SharePoint Server 2016 KB 5002744。 Microsoft支援 |
| CVE-2025-49706 | 不正確的身份驗證/欺騙 | 6.3(中等) | 已在 2025 年 7 月 8 日的更新(KB 5002768 / 5002741 / 5002744) 中修復。 Microsoft支援 |
| CVE-2025-53770 | 不受信任資料的反序列化→未經身份驗證的 RCE | 9.8(嚴重) | 訂閱版 KB 5002768 和 SharePoint 2019 KB 5002754緊急修補程式已發布; SharePoint 2016 修補程式正在等待發布。 Microsoft安全回應中心 |
| CVE-2025-53771 | 路徑遍歷/欺騙 | 6.3(中等) | 透過與CVE-2025-53770(SE KB 5002768、2019 KB 5002754)相同的緊急更新解決; SharePoint 2016 即將發布修復程序。 Microsoft安全回應中心 |
受影響的產品
| 產品 | CVE-2025-49704 | CVE-2025-49706 | CVE-2025-53770 | CVE-2025-53771 |
|---|---|---|---|---|
| SharePoint 伺服器訂閱版 | ✅ 受影響 | ✅ 受影響 | ✅ 受影響 | ✅ 受影響 |
| SharePoint 伺服器 2019 | ✅ 受影響 | ✅ 受影響 | ✅ 受影響 | ✅ 受影響 |
| SharePoint 伺服器 2016 | ✅ 受影響 | ✅ 受影響 | ✅ 受影響 | ✅ 受影響 |
| SharePoint 在線 | ❌不受影響 | ❌不受影響 | ❌不受影響 | ❌不受影響 |
如需更多見解和深入信息,您可以訪問 Microsoft 技術社區網站上的官方部落格文章。
發佈留言