Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 22/07/2025] Ejecución remota de código en SharePoint Server de Microsoft

Fecha de publicación 21/07/2025
Identificador
INCIBE-2025-0388
Importancia
5 - Crítica
Recursos Afectados
  • Microsoft SharePoint Server Subscription Edition;
  • Microsoft SharePoint Server 2019;
  • Microsoft SharePoint Server 2016.
Descripción

Microsoft ha publicado información sobre una vulnerabilidad de severidad crítica que podría permitir ejecución remota de código.

Microsoft tiene conocimiento de ataques activos dirigidos contra clientes locales de SharePoint Server mediante el aprovechamiento de vulnerabilidades parcialmente abordadas en la actualización de seguridad de julio.

Solución

Microsoft ha publicado actualizaciones de seguridad que protegen completamente a los clientes que usan SharePoint Subscription Edition y SharePoint 2019:

Se esta trabajando en actualizaciones de seguridad para SharePoint 2016. Por lo que para mitigar posibles ataques, los clientes deben:

  1. Utilizar versiones compatibles de SharePoint Server local.
  2. Aplicar las últimas actualizaciones de seguridad, incluida la actualización de seguridad de julio de 2025.
  3. Asegurarse de que la interfaz de escaneo antimalware (AMSI) esté activada y configurada correctamente, con una solución antivirus adecuada, como Defender Antivirus.
  4. Implementar Microsoft Defender para la protección de endpoints o soluciones contra amenazas equivalentes.
  5. Rotar claves de máquina de SharePoint Server ASP.NET.
Detalle

La deserialización de datos no confiables en Microsoft SharePoint Server local permite que un atacante no autorizado ejecute código a través de la red obteniendo el control de servidores sin autenticación.

Se ha asignado el identificador CVE-2025-53770 para esta vulnerabilidad.

CVE
Explotación
Fabricante
Identificador CVE
CVE-2025-53770
Severidad
Crítica