» »

Huda ranljivost v Sharepointu, ki se že izkorišča

Huda ranljivost v Sharepointu, ki se že izkorišča

Slo-Tech - V lokalni verziji platforme Microsoft SharePoint, ki jo organizacije uporabljajo za gostovanje na lastnih strežnikih, se ta hip izkoriščata dve ranljivosti, ki do danes nista bili zakrpani. Microsoft je zato za SharePoint Subscription Edition in SharePoint 2019 izdal izredna popravka, medtem ko za SharePoint 2016 popravek še pripravljajo. Vsem uporabnikom svetujejo takojšnjo namestitev in zatem zamenjavo ključev.

Za SharePoint Server 2019 je namenjen popravek KB5002754, za SharePoint Subscription Edition pa KB5002768. Po podatkih Bleeping Computer se napadi, ki ranljivosti izkoriščajo, že vrstijo. Prizadetih je vsaj 54 organizacij, med njimi tudi agencije v Bruslju in Washingtonu. Ranljivosti imata oznaki CVE-2025-49704 in CVE-2025-49706, ki se imenujeta ToolShell. Predstavljeni sta bili že na majskem Pwn2Ownu, julijski paket popravkov pa je prinesel pomanjkljivo zaščito z novima ranljivostma CVE-2025-53770 in CVE-2025-53771.

Ranljivost ne vpliva na uporabnike, ki so naročeni na oblačno storitev, kjer so dokumenti shranjeni v Microsoftovem oblaku.

3 komentarji

MrStein ::

CVE-2025-49704
Improper control of generation of code ('code injection') in Microsoft Office SharePoint allows an authorized attacker to execute code over a network.

CVE-2025-49706
Improper authentication in Microsoft Office SharePoint allows an authorized attacker to perform spoofing over a network.


CVE-2025-53770
Deserialization of untrusted data in on-premises Microsoft SharePoint Server allows an unauthorized attacker to execute code over a network.

CVE-2025-53771
Improper limitation of a pathname to a restricted directory ('path traversal') in Microsoft Office SharePoint allows an authorized attacker to perform spoofing over a network.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

pegasus ::

Pa Entra ID ima tudi "not a bug, it's a feature" metodo za preskočit 2FA :))

bpr123 ::

pegasus je izjavil:

Pa Entra ID ima tudi "not a bug, it's a feature" metodo za preskočit 2FA :))


Katero?
Ta mfa je sicer sila nadležen.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft bo podražil programsko opremo za lokalne strežnike

Oddelek: Novice / Operacijski sistemi
143327 (1050) stara mama
»

Barcelona gre na Linux (strani: 1 2 )

Oddelek: Novice / Ostale najave
7920481 (16441) noraguta
»

Microsoft OneNote brezplačen za Windows in Mac

Oddelek: Novice / Pisarniški paketi
96445 (4846) LJ4L
»

Google izrinil Microsoft na ameriškem razpisu za 90.000 pisarniških licenc

Oddelek: Novice / Pisarniški paketi
4411409 (9502) šernk
»

OpenOffice glede na raziskave cenejši od komercialne konkurence (strani: 1 2 3 )

Oddelek: Novice / Pisarniški paketi
12913426 (10021) [BISI]

Več podobnih tem