Se han identificado dos vulnerabilidades críticas (CVE-2025-53770 y CVE-2025-53771) que afectan a Microsoft SharePoint Server en implementaciones locales. Estas fallas están siendo activamente explotadas y permiten a atacantes remotos ejecutar código malicioso sin autenticación, comprometiendo completamente los servidores afectados.
Vulnerabilidades identificadas:
- CVE-2025-53770 (CVSS 9.8): Esta vulnerabilidad permite la ejecución remota de código (RCE) mediante la deserialización insegura de datos no confiables. Un atacante puede explotar esta falla enviando una solicitud especialmente diseñada al endpoint
/ToolPane.aspx, lo que provoca que SharePoint deserialice objetos maliciosos sin validación. Como resultado, el atacante puede ejecutar comandos arbitrarios en el servidor afectado, incluso insertar web shells persistentes (comospinstall0.aspx) en el sistema, lo que facilita el control total del entorno. - CVE-2025-53771 (CVSS 6.3): Esta vulnerabilidad permite eludir los mecanismos de autenticación mediante suplantación de encabezados HTTP. El atacante manipula el encabezado
Refereren una solicitud POST, haciendo que el servidor interprete la petición como proveniente de una sesión legítima. Esto permite al atacante acceder a recursos protegidos sin credenciales válidas, lo cual es el primer paso en la cadena de explotación.
Estas vulnerabilidades pueden ser encadenadas por atacantes para lograr ejecución remota sin autenticación, en una cadena de explotación conocida como ToolShell.
Productos y Versiones afectadas
| Producto | Versión | CVE-2025-53770 | CVE-2025-53771 |
|---|---|---|---|
| SharePoint Server Subscription Edition | Antes de KB5002768 | Vulnerable | Vulnerable |
| SharePoint Server 2019 | Antes de 16.0.10417.20027 / KB5002754 | Vulnerable | Vulnerable |
| SharePoint Server 2016 | Sin parchear | Vulnerable | Vulnerable |
| SharePoint Server 2010 / 2013 | Fuera de soporte | Vulnerable | Vulnerable |
Nota: SharePoint Online (Microsoft 365) no está afectado.
Solución
Aplicar las siguientes actualizaciones acumulativas que mitigan completamente estas vulnerabilidades:
- SharePoint Server Subscription Edition – KB5002768
- SharePoint Server 2019 – KB5002754
- SharePoint Server 2016 – KB5002760 / KB5002759
Estas actualizaciones son acumulativas y deben ser aplicadas inmediatamente.
Recomendaciones
- Aplicar únicamente los parches oficiales listados por Microsoft.
- Habilitar Antimalware Scan Interface (AMSI) en modo completo.
- Rotar las claves ASP.NET machineKey después del parcheo.
- Desplegar Microsoft Defender Antivirus y Defender for Endpoint.Aislar los servidores vulnerables que no puedan ser parcheados inmediatamente.
- Auditar privilegios de administración y monitorear Indicadores de Compromiso (IOCs).
Referencias
- https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-releases-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770
- https://www.wiz.io/blog/sharepoint-vulnerabilities-cve-2025-53770-cve-2025-53771-everything-you-need-to-k
- https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
- https://success.trendmicro.com/en-US/solution/KA-0020403
- https://nvd.nist.gov/vuln/detail/CVE-2025-53770