{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft SharePoint Enterprise Server 2016 versions ant\u00e9rieures \u00e0 16.0.5513.1001","product":{"name":"SharePoint Enterprise Server 2016","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft SharePoint Server 2019 versions ant\u00e9rieures \u00e0 16.0.10417.20037","product":{"name":"SharePoint Server 2019","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft SharePoint Server Subscription Edition versions ant\u00e9rieures \u00e0 16.0.18526.20508","product":{"name":"SharePoint Server Subscription Edition","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft SharePoint Enterprise Server 2013 toutes versions","product":{"name":"SharePoint Enterprise Server 2013","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft SharePoint Enterprise Server 2010 toutes versions","product":{"name":"SharePoint Enterprise Server 2010","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":"**<span class=\"important-content\">[Mise \u00e0 jour du 23 juillet 2025]</span>**\n\nL'\u00e9diteur annonce que SharePoint Enterprise Server 2010 et SharePoint Enterprise Server 2013 ne recevront pas de correctifs de s\u00e9curit\u00e9. Le CERT-FR recommande aux utilisateurs de migrer vers un produit disposant de mises \u00e0 jours.","closed_at":"2025-08-26","content":"## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des correctifs (cf. section Documentation).","cves":[{"name":"CVE-2025-53770","url":"https://www.cve.org/CVERecord?id=CVE-2025-53770"},{"name":"CVE-2025-53771","url":"https://www.cve.org/CVERecord?id=CVE-2025-53771"}],"links":[{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 pour Microsoft SharePoint Enterprise Server 2016 (KB5002760)","url":"https://www.microsoft.com/en-us/download/details.aspx?id=108288"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 pour Microsoft SharePoint Server 2019 Core (KB5002754)","url":"https://www.microsoft.com/en-us/download/details.aspx?id=108286"},{"title":"[1] Conseils aux clients pour la vuln\u00e9rabilit\u00e9 SharePoint CVE-2025-53770","url":"https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/"},{"title":"Description de la mise \u00e0 jour de s\u00e9curit\u00e9 pour SharePoint Enterprise Server 2016 : 8 juillet 2025 (KB5002744)","url":"https://support.microsoft.com/fr-fr/topic/description-of-the-security-update-for-sharepoint-enterprise-server-2016-july-8-2025-kb5002744-9196e240-c76d-4bb0-b16c-6f7d6645a1f0"},{"title":"[5] Compromission syst\u00e8me - Endiguement","url":"https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-006/"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 pour Microsoft SharePoint Enterprise Server 2016 Language Pack (KB5002759)","url":"https://www.microsoft.com/en-us/download/details.aspx?id=108289"},{"title":"Description de la mise \u00e0 jour de s\u00e9curit\u00e9 pour SharePoint Server 2019 : 8 juillet 2025 (KB5002741)","url":"https://support.microsoft.com/fr-fr/topic/description-of-the-security-update-for-sharepoint-server-2019-july-8-2025-kb5002741-d860f51b-fcdf-41e4-89de-9ce487c06548"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 pour Microsoft SharePoint Server Subscription Edition (KB5002768)","url":"https://www.microsoft.com/en-us/download/details.aspx?id=108285"},{"title":"Avis CERT-FR CERTFR-2025-AVI-0611 du 21 juillet 2025","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0611/"},{"title":"[4] Compromission syst\u00e8me - Qualification","url":"https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-005/"},{"title":"[2] Am\u00e9lioration de la s\u00e9curit\u00e9 de l'\u00e9tat de ASP.NET et de la gestion des cl\u00e9s","url":"https://learn.microsoft.com/en-us/sharepoint/security-for-sharepoint-server/improved-asp-net-view-state-security-key-management"},{"title":"[3] Pr\u00e9vention de l'exploitation active des vuln\u00e9rabilit\u00e9s de SharePoint","url":"https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/"}],"reference":"CERTFR-2025-ALE-010","revisions":[{"description":"Version initiale","revision_date":"2025-07-21T00:00:00.000000"},{"description":"Mises \u00e0 jour de s\u00e9curit\u00e9 pour SharePoint Enterprise Server 2016 et marqueurs de compromission disponibles. ","revision_date":"2025-07-22T00:00:00.000000"},{"description":"Ajout de la r\u00e9f\u00e9rence CVE CVE-2025-53771, informations sur les produits obsol\u00e8tes et recherche de compromission","revision_date":"2025-07-23T00:00:00.000000"},{"description":"     Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2025-08-26T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"**<span class=\"important-content\">[Mise \u00e0 jour du 23 juillet 2025]</span>**\n\nLe 20 juillet 2025, Microsoft a publi\u00e9 des correctifs pour une vuln\u00e9rabilit\u00e9 de type limitation insuffisante d'un chemin d'acc\u00e8s \u00e0 un r\u00e9pertoire restreint, aussi appel\u00e9 *path traversal*, affectant SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition. L'\u00e9diteur indique que la vuln\u00e9rabilit\u00e9 CVE-2025-53771 permet \u00e0 un attaquant de provoquer une usurpation d'identit\u00e9 sur un r\u00e9seau.\n\n**[Mise \u00e0 jour du 22 juillet 2025]**\n\nMicrosoft a publi\u00e9 les mises \u00e0 jour cumulatives (*Cumulative Update*, *CU*) de s\u00e9curit\u00e9 pour SharePoint Enterprise Server 2016.\nL'\u00e9diteur fournit \u00e9galement des marqueurs de compromission \u00e0 rechercher [3].\n\n**[Publication initiale]**\n\nLe 19 juillet 2025, Microsoft a publi\u00e9 des correctifs pour une vuln\u00e9rabilit\u00e9 de type jour-z\u00e9ro affectant SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition. L'\u00e9diteur indique que la vuln\u00e9rabilit\u00e9 CVE-2025-53770 permet \u00e0 un attaquant de provoquer une d\u00e9s\u00e9rialisation de donn\u00e9es non fiables entrainant une ex\u00e9cution de code arbitraire \u00e0 distance.\n\nMicrosoft indique que la vuln\u00e9rabilit\u00e9 CVE-2025-53770 est activement exploit\u00e9e.\n\nPour limiter les attaques potentielles, l'\u00e9diteur a fait des recommandations [1].\n\nLe CERT-FR recommande les actions suivantes :\n* si l'instance SharePoint est dans une version disposant d'un correctif pour cette vuln\u00e9rabilit\u00e9 :\n    * appliquer les derni\u00e8res mises \u00e0 jour de s\u00e9curit\u00e9, y compris la mise \u00e0 jour de s\u00e9curit\u00e9 de juillet 2025 ;\n    * effectuer une rotation des cl\u00e9s de machine ASP.NET du SharePoint Server [2];\n    * red\u00e9marrer IIS sur tous les serveurs SharePoint.\n* si \u00e7a n'est pas le cas, d\u00e9connecter ou filtrer les acc\u00e8s \u00e0 cette instance.\n\nL'\u00e9diteur fournit des moyens de d\u00e9tection et de protection pour Microsoft Defender Antivirus [1].\n\n## Recherche de compromission\n\n**<span class=\"important-content\">[Mise \u00e0 jour du 23 juillet 2025]</span>**\n\nD\u00e8s que le correctif est appliqu\u00e9 ou l\u2019instance SharePoint isol\u00e9e :\n* effectuer une recherche de compromission ;\n* rechercher dans les journaux r\u00e9seau IIS SharePoint en privil\u00e9giant la p\u00e9riode allant du 7 juillet 2025 jusqu'\u00e0 la date d'application des correctifs de s\u00e9curit\u00e9.\n\nLes caract\u00e9ristiques des requ\u00eates HTTP sont d\u00e9crites ci-dessous:\n\n<table class=\"specificStd\">\n    <thead>\n        <tr>\n            <th class=\"specificTitle\">Caract\u00e9ristiques HTTP</th>\n            <th class=\"specificTitle\">Valeur(s) \u00e0 rechercher</th>\n        </tr>\n    </thead>\n    <tbody><tr>\n            <td class=\"specificStd\">M\u00e9thode HTTP</td>\n            <td class=\"specificStd\">POST</td>\n        </tr><tr>\n            <td class=\"specificStd\">URL</td>\n            <td class=\"specificStd\">/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx<br> /_layouts/16/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx</td>\n        </tr><tr>\n            <td class=\"specificStd\">Referer</td>\n            <td class=\"specificStd\">/_layouts/SignOut.aspx <br> https://<code>&lt;cible&gt;</code>/_layouts/SignOut.aspx <br> http://<code>&lt;cible&gt;</code>/_layouts/SignOut.aspx</td>\n        </tr>\n    </tbody>\n</table>\n<br>\n<code>&lt;cible&gt;</code> \u00e9tant le nom de domaine de votre SharePoint.\n<br><br>\n\nSi des journaux syst\u00e8me sont disponibles, rechercher des processus inhabituels g\u00e9n\u00e9r\u00e9s par le processus IIS <code>w3wp.exe</code> tels que <code>powershell.exe</code> ou <code>cmd.exe</code>. \n\nEn cas de compromission, signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRTs m\u00e9tier et consulter les fiches r\u00e9flexes de compromission syst\u00e8me [4][5].\n\nLe CERT-FR recommande de d\u00e9terminer si l\u2019instance SharePoint n\u2019h\u00e9berge pas des secrets d\u2019administration du syst\u00e8me d'information.","title":"[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Microsoft SharePoint","vendor_advisories":[{"published_at":"2025-07-19","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2025-53770","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770"},{"published_at":"2025-07-20","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2025-53771","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53771"}]}