一、漏洞詳情

Microsoft SharePoint是由微軟開(kāi)發(fā)的一套協(xié)作平臺(tái)和內(nèi)容管理系統(tǒng)。

近日，監(jiān)測(cè)到微軟官方修復(fù)Microsoft SharePoint遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2025-53770)和認(rèn)證繞過(guò)漏洞(CVE-2025-53771)，該漏洞源于對(duì)CVE-2025-49704和CVE-2025-49706利用鏈ToolShell的繞過(guò)，攻擊者可通過(guò)發(fā)送惡意請(qǐng)求獲取服務(wù)器 MachineKey等配置信息并構(gòu)造ViewState反序列化數(shù)據(jù)實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，進(jìn)一步獲取服務(wù)器權(quán)限。

建議受影響用戶(hù)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

二、影響范圍

Microsoft SharePoint Server 2016 < 16.0.5508.1000

Microsoft SharePoint Server 2019 < 16.0.10417.20037

Microsoft SharePoint Server Subscription Edition < 16.0.18526.20508

三、修復(fù)建議

官方已發(fā)布安全補(bǔ)丁，請(qǐng)及時(shí)升級(jí)至最新版本：

Microsoft SharePoint Server 2016 >= 16.0.5508.1000

Microsoft SharePoint Server 2019 >= 16.0.10417.20037

Microsoft SharePoint Server Subscription Edition >= 16.0.18526.20508