Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09477

Опубликовано: 18 апр. 2025
Источник: fstec
CVSS3: 8
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость почтового сервера Microsoft Exchange Server связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Вендор

Microsoft Corp

Наименование ПО

Microsoft Exchange Server

Версия ПО

2019 Cumulative Update 14 (Microsoft Exchange Server)
2016 Cumulative Update 23 (Microsoft Exchange Server)
2019 Cumulative Update 15 (Microsoft Exchange Server)
Subscription Edition RTM (Microsoft Exchange Server)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к почтовому серверу;
- сегментирование сети с целью ограничения доступа к почтовому серверу из других подсетей;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 25%
0.00082
Низкий

8 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-53786

CVSS3: 8
nvd
11 дней назад

On April 18th 2025, Microsoft announced Exchange Server Security Changes for Hybrid Deployments and accompanying non-security Hot Fix. Microsoft made these changes in the general interest of improving the security of hybrid Exchange deployments. Following further investigation, Microsoft identified specific security implications tied to the guidance and configuration steps outlined in the April announcement. Microsoft is issuing CVE-2025-53786 to document a vulnerability that is addressed by taking the steps documented with the April 18th announcement. Microsoft strongly recommends reading the information, installing the April 2025 (or later) Hot Fix and implementing the changes in your Exchange Server and hybrid environment.

msrc логотип

CVE-2025-53786

CVSS3: 8
msrc
6 дней назад

Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability

github логотип

GHSA-v92c-556h-xm93

CVSS3: 8
github
11 дней назад

On April 18th 2025, Microsoft announced Exchange Server Security Changes for Hybrid Deployments and accompanying non-security Hot Fix. Microsoft made these changes in the general interest of improving the security of hybrid Exchange deployments. Following further investigation, Microsoft identified specific security implications tied to the guidance and configuration steps outlined in the April announcement. Microsoft is issuing CVE-2025-53786 to document a vulnerability that is addressed by taking the steps documented with the April 18th announcement. Microsoft strongly recommends reading the information, installing the April 2025 (or later) Hot Fix and implementing the changes in your Exchange Server and hybrid environment.

EPSS

Процентиль: 25%
0.00082
Низкий

8 High

CVSS3

7.1 High

CVSS2