一、漏洞概要

二、漏洞分析

2.1 组件介绍

Microsoft SharePoint Foundation和SharePoint Server都是美国微软（Microsoft）公司的业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作等。

2.2 漏洞描述

2021年5月12日，深信服安全团队监测到微软官方发布了一则漏洞安全通告，通告披露了Sharepoint组件存在远程命令执行漏洞，漏洞编号：CVE-2021-31181。威胁等级：高危。

该漏洞CVE-2021-31181是由于服务器未能正确处理用户传入的XML数据，解析时会导致生成恶意控件，攻击者可利用该漏洞在获得权限的情况下，构造恶意数据执行远程代码执行攻击，最终可获取服务器权限。

2.4 漏洞复现

搭建Sharepoint组件2019版本环境，复现该漏洞，效果如下：

三、影响范围

受漏洞影响的资产广泛分布于世界各地，国内主要集中在广东、北京、上海等省市。

目前受影响的Microsoft Sharepoint版本：

Microsoft SharePoint Foundation 2013
   Microsoft SharePoint Enterprise Server 2016
   Microsoft SharePoint Server 2019

四、解决方案

修复建议

1. 如何检测组件系统版本

注:由于Sharepoint组件的特殊性,使得在安装补丁包后组件版本号不一定会及时更新,且不同位置显示的版本号可能不同,因此请以[Windows 更新与安全]检查补丁包更新为主,以下通过版本查阅方法仅供修复参考。

1.  访问Sharepoint服务器的Sharepoint Management Shell

2.  在打开的窗口中执行命令：

<Get-SPFarm|Select BuildVersion >

3.  以下版本号为安装上个月更新后的组件版本,如果版本号小于或等于下表,则表明组件可能会受到漏洞影响

2.官方修复建议（补丁、版本更新）

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31181