CISA ha emitido una advertencia urgente sobre dos vulnerabilidades críticas de Microsoft SharePoint que los actores de amenaza están explotando activamente en la naturaleza.
Las vulnerabilidades, designadas como CVE-2025-49704 y CVE-2025-49706, plantean riesgos significativos para las organizaciones que ejecutan servidores de SharePoint en las instalaciones y se han agregado al conocido catálogo de vulnerabilidades explotadas (KEV) de CISA con una fecha límite de remediación inmediata.
Control de llave
1. CVE-2025-49704 y CVE-2025-49706 están siendo explotados activamente para comprometer los servidores de SharePoint.
2. CISA requiere remediación inmediata antes del 23 de julio de 2025.
3. Desconecte los antiguos sistemas de SharePoint, parche las versiones actuales de inmediato.
Vulnerabilidad de inyección de código (CVE-2025-49704)
CVE-2025-49704 representa una vulnerabilidad de inyección de código grave en Microsoft SharePoint que cae bajo la clasificación CWE-94 para el control inadecuado de la generación de código.
Esta falla permite a los atacantes autorizados ejecutar código arbitrario a través de una conexión de red, lo que potencialmente les da un control completo sobre el servidor de SharePoint afectado.
La vulnerabilidad permite a los actores de amenaza inyectar código malicioso en la aplicación SharePoint, que luego puede ejecutarse con los privilegios de la cuenta de servicio de SharePoint, lo que lleva a un posible compromiso del sistema y exfiltración de datos.
Vulnerabilidad de autenticación inadecuada (CVE-2025-49706)
CVE-2025-49706 es una vulnerabilidad de autenticación inadecuada clasificada bajo CWE-287 (autenticación inadecuada) que afecta los mecanismos de autenticación de Microsoft SharePoint.
Esta falla de seguridad permite a los atacantes autorizados realizar ataques de falsificación en una red, lo que les permite hacerse pasar por usuarios legítimos y omitir los controles de autenticación.
La explotación exitosa de esta vulnerabilidad otorga a los atacantes acceso no autorizado para ver información confidencial y hacer modificaciones a datos revelados, comprometiendo efectivamente la integridad y la confidencialidad de los entornos de SharePoint.
Cuando las dos vulnerabilidades están encadenadas, se combinan para formar un poderoso vector de ataque.
Los actores de amenaza generalmente aprovechan CVE-2025-49706 primero para evitar los mecanismos de autenticación a través de técnicas de suplantación de suplantación, luego explote CVE-2025-49704 para inyectar y ejecutar código malicioso en el servidor comprometido.
Microsoft ha confirmado que la actualización de CVE-2025-53770 incluye protecciones más robustas que los parches individuales para estas vulnerabilidades, lo que sugiere un enfoque integral de mejora de la seguridad que aborda las debilidades arquitectónicas subyacentes.
CVETITLECVSS 3.1 ScoreSeverityCVE-2025-49704Microsoft SharePoint Code Inyection Vulnerability8.8MediumCve-2025-49706Microsoft SharePoint Vulnerabilidad de autenticación inadecuada6.5Medium
CISA emite una fecha límite de parche las 24 horas
CISA agregó ambos Vulnerabilidades al catálogo de KEV el 22 de julio de 2025, con una fecha límite de remediación de 24 horas sin precedentes establecida para el 23 de julio de 2025.
Esta línea de tiempo agresiva refleja la gravedad de la explotación activa y la naturaleza crítica de las vulnerabilidades.
La agencia ha emitido una guía específica bajo la Directiva Operativa vinculante (BOD) 22-01, lo que requiere que las agencias federales aborden de inmediato estos defectos de seguridad.
Las organizaciones son particularmente vulnerables si están ejecutando versiones de SharePoint de fin de vida (EOL) o finales de servicio (EOS), incluidas las versiones de SharePoint 2013 y las versiones anteriores que ya no reciben actualizaciones de seguridad.
CISA enfatiza que estos sistemas heredados deben estar completamente desconectados de las redes públicas de inmediato.
CISA recomienda Un enfoque de múltiples capas para abordar estas vulnerabilidades. Para las versiones compatibles de SharePoint, las organizaciones deben aplicar los últimos parches de seguridad y seguir la guía de mitigación integral de Microsoft.
Sin embargo, para sistemas EOL como SharePoint Server 2013, la única opción viable es la desconexión completa del acceso a la red.
Las instrucciones de mitigación de la agencia hacen referencia a múltiples aves de datos de seguridad de Microsoft y bases de datos de vulnerabilidades, incluido el Centro de Respuesta de Seguridad de Microsoft (MSRC) y la Base de datos de vulnerabilidad nacional (NVD).
Las organizaciones también deben considerar la implementación de la segmentación de la red, el monitoreo mejorado y los controles de acceso como parte de su postura de ciberseguridad más amplia para evitar intentos de explotación similares en el futuro.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
