Remote CVE-2025-53770-Exploit

[Baiden]

Есть кто уже испытал в бою?

• Тип : Удаленное выполнение кода (RCE)
• Оценка CVSS : 9,8 (критическая)
• Компонент : Microsoft SharePoint Server (локальный)
• Основная причина : небезопасная десериализация данных ViewState с использованием украденного ASP.NET machineKey(ValidationKey и DecryptionKey).
• Эксплуатация : не требует аутентификации.
• Статус : Активно эксплуатируется в дикой природе.
• Дата раскрытия : 19 июля 2025 г.
• Обнаружено/сообщено : несколькими поставщиками услуг безопасности и правительственными группами реагирования на инциденты
  
  

  GitHub - soltanali0/CVE-2025-53770-Exploit: SharePoint WebPart Injection Exploit Tool

  SharePoint WebPart Injection Exploit Tool. Contribute to soltanali0/CVE-2025-53770-Exploit development by creating an account on GitHub.

  github.com

 

[vanga_s friend]

neponyatna expluataciya,m.b. kto rasskaget

 

[Голиа]

Vulnerability of the day

 

[Crekshmek]

Кто нибудь продвинулся? понимание есть, но не доконца

 

[BioHack]

neponyatna expluataciya,m.b. kto rasskaget

Сам долго мучал, но чутка понимание не было, во первых основной сплоит точнее шелл в нем не до конца допилен, там нет сбора ключей (вот тут подробно описано + основной рабочий шелл со сбором ключей https://research.eye.security/sharepoint-under-siege/) Во вторых сам сплоит не работает без авторизации, предшественники этого сплойта вот эти два https://github.com/AdityaBhatt3010/...ofing-Vulnerability-Under-Active-Exploitation -- тут показан прогруз через POST запрос изначального ASPX из этой статьи https://research.eye.security/sharepoint-under-siege/, для этого нужен любой юзер от корпы с любыми правами, нужен GUID авторизации от него, вот сначало прогружаем ASPX ищем его по пути /_layouts/15/ собираем ключи, потом только генерируем новый пайлоуд уже с командой PowerShell CVE-2025-53770-Exploit. и на выходе получаем доменного админа, так как CVE-2025-53770 подразумевает повышение привелегий.