CVE-2025-49704

Microsoft SharePoint Remote Code Execution Vulnerability

CVSS 8.8 HIGHEPSS 99.9%● KEVCWE-94

En resumen

Un atacante autorizado en Microsoft SharePoint puede inyectar y ejecutar código malicioso en el servidor. Esto es peligroso porque permite que el atacante tome control total del entorno SharePoint y acceda a datos sensibles.

Detalle técnico

Vulnerabilidad de inyección de código en el mecanismo de generación de código de SharePoint permite que atacantes autenticados ejecuten código arbitrario remotamente por validación inadecuada de entrada. El ataque requiere credenciales válidas pero puede resultar en compromiso completo del servidor con acceso a todos los datos alojados.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper control of generation of code ('code injection') in Microsoft Office SharePoint allows an authorized attacker to execute code over a network.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

Productos afectados

Microsoft · Microsoft SharePoint Enterprise Server 2016 Microsoft · Microsoft SharePoint Server 2019

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49704 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-49704 https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/