SharePoint Server NET ViewState 反序列化漏洞

漏洞信息

漏洞名称： SharePoint Server .NET ViewState 反序列化漏洞

漏洞编号：

• CVE： CVE-2025-53770

漏洞类型： 反序列化

漏洞等级： 严重

漏洞描述： 受影响产品: SharePoint Server是微软开发的一款企业级协作平台，广泛用于文档管理、内容管理和企业内部协作。它通常部署在企业内部网络中，支持多种业务场景，如团队协作、知识管理等。由于其广泛的应用，SharePoint Server成为攻击者的重要目标。

漏洞解释: CVE-2025-53770是一个严重的.NET ViewState反序列化漏洞，存在于SharePoint Server的ViewState管理器中。该漏洞允许攻击者通过发送特制的POST请求到/_layouts/15/ToolPane.aspx?DisplayMode=Edit，利用恶意的ViewState payloads触发SerializationException，从而在服务器上执行任意代码。此漏洞无需认证即可利用，攻击者可以利用此漏洞在服务器上写入web shells（如spinstall0.aspx）到LAYOUTS文件夹，进而控制受影响的系统。

影响分析: 该漏洞的利用可能导致严重的远程代码执行（RCE）风险，攻击者可以在未授权的情况下完全控制受影响的SharePoint Server。由于漏洞利用无需用户交互，且可以自动化执行，因此其威胁等级被评定为“严重”。企业应立即检查其SharePoint Server是否受此漏洞影响，并尽快应用微软提供的安全更新或缓解措施，以防止潜在的攻击和数据泄露。

产品厂商： Microsoft

产品名称： SharePoint Server

来源： https://github.com/grupooruss/CVE-2025-53770-Checker

类型： CVE-2025:github search

仓库文件

• README.md
• checker CVE-2025-53770.py

来源概述

CVE-2025-53770-Checker

Comprueba si un servidor SharePoint on-premises es vulnerable a CVE-2025-53770

Detector no intrusivo de la vulnerabilidad CVE-2025-53770 en SharePoint Server
Desarrollo: Division81 (equipo de hackers éticos de Grupo Oruss)

Descripción técnica

• CVE-2025-53770 es un fallo crítico de deserialización de .NET en el gestor de ViewState de SharePoint on-premises que permite RCE sin autenticación :contentReference[oaicite:1]{index=1}.
• El exploit emplea un POST a / _layouts/15/ToolPane.aspx?DisplayMode=Edit con payloads de ViewState maliciosos (firmados) que desatan SerializationException y suelen escribir web shells (spinstall0.aspx) en la carpeta LAYOUTS :contentReference[oaicite:2]{index=2}.
• Parte de la “ToolShell” exploit chain junto a CVE-2025-49706 y CVE-2025-49704, utilizada en campañas APT recientes :contentReference[oaicite:3]{index=3}.

Requisitos

• Python ≥ 3.7
• Módulo requests (pip install requests)

Uso

git clone https://github.com/tu-org/division81-sp-checker.git
cd division81-sp-checker
pip install -r requirements.txt
python check_sp_cve2025_53770.py https://sharepoint.local/ -e 2019

Referencias

MSRC Blog: Customer guidance for SharePoint vulnerability CVE-2025-53770
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

Licencia

MIT © Grupo Oruss – Division81