Pokládáme za nutné Vás informovat o nově objevené kritické zranitelnosti v produktu Microsoft SharePoint Server s označením CVE-2022-22005 a s hodnocením CVSSv3 8,8. Aktuálně nemáme informace o aktivním zneužívání této zranitelnosti.
Tato zranitelnost je způsobená chybou v deserializaci klientských dat při zpracování grafů, která vede k vykonání libovolného kódu. Autentizace je potřeba pro zneužití této zranitelnosti.
Doporučujeme aktualizaci zranitelného softwaru na novější verzi, ve které je již aplikována záplata, viz níže.
Technické detaily
| CVSSv3 skóre | 8,8 |
| Attack Vector (AV) | Network |
| Attack Complexity (AC) | Low |
| Privileges Required (PR) | Low |
| User Interaction (UI) | None |
| Scope (S) | Unchanged |
| Confidentiality (C) | High |
| Integrity (I) | High |
| Availability (A) | High |
Hrozba zneužití
Aktuálně není známo aktivní zneužívání této zranitelnosti.
Mitigace
Doporučujeme aktualizovat zranitelné produkty na
verze, které již mají zranitelnost opravenou.
Pomocí produktů Tenable je možné zranitelnost identifikovat za využití
pluginů.
Reference
https://nvd.nist.gov/vuln/detail/CVE-2022-22005
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22005
https://www.zerodayinitiative.com/advisories/ZDI-22-352/
Zdroj hlášení o zranitelnosti
CVE databáze, datum zveřejnění 9. 2. 2022
