Vulnerabilities ›

CVE-2023-24955

Critical 🇺🇸 CISA KEV ⚡ Exploit Available

Microsoft SharePoint Server Remote Code Injection Vulnerability (CVE-2023-24955)

                    Published: Mar 26, 2024                                          ·  Source: CISA_KEV                

CVSS v3

9.0

🔗 NVD Official

📄 Description (English)

Microsoft SharePoint Server Code Injection Vulnerability — Microsoft SharePoint Server contains a code injection vulnerability that allows an authenticated attacker with Site Owner privileges to execute code remotely.

🤖 AI Executive Summary

CVE-2023-24955 is a critical code injection vulnerability in Microsoft SharePoint Server (CVSS 9.0) allowing authenticated Site Owners to execute arbitrary code remotely. With public exploits available, this poses immediate risk to organizations using SharePoint for document management and collaboration. Urgent patching is required across all affected SharePoint deployments in Saudi Arabia.

📄 Description (Arabic)

تعتبر هذه الثغرة في Microsoft SharePoint Server ثغرة حقن أكواد حرجة تسمح للمهاجمين المصرح لهم بامتيازات مالك الموقع بتنفيذ أكواد برمجية عشوائية على الخادم. يمكن للمهاجم استغلال هذه الثغرة للوصول غير المصرح به والتحكم الكامل بالنظام. تم تصنيف هذه الثغرة كحرجة مع درجة CVSS 9.0 وتتوفر استغلالات نشطة في البرية.

🤖 ملخص تنفيذي (AI)

CVE-2023-24955 عبارة عن ثغرة حقن أكواد حرجة في خادم Microsoft SharePoint (CVSS 9.0) تسمح لمالكي المواقع المصرحين بتنفيذ أكواد عشوائية عن بعد. مع توفر استغلالات عامة، يشكل هذا خطراً فورياً على المنظمات التي تستخدم SharePoint لإدارة المستندات والتعاون. يتطلب الأمر تصحيح عاجل لجميع نشرات SharePoint المتأثرة في المملكة العربية السعودية.

🤖 AI Intelligence Analysis Analyzed: Apr 20, 2026 03:01

🇸🇦 Saudi Arabia Impact Assessment

Critical impact on Saudi banking sector (SAMA-regulated institutions), government agencies (NCA oversight), healthcare organizations (MOH systems), and energy sector (ARAMCO, downstream companies). SharePoint is widely deployed for document management in these sectors. Compromised Site Owners could exfiltrate sensitive financial data, government documents, patient records, and operational technology information. Telecom operators (STC, Mobily) using SharePoint for internal collaboration also at risk.

🏢 Affected Saudi Sectors

Banking & Financial Services Government & Public Administration Healthcare Energy & Utilities Telecommunications Education Manufacturing

🎯 MITRE ATT&CK Techniques

T1190 - Exploit Public-Facing Application T1059 - Command and Scripting Interpreter T1047 - Windows Management Instrumentation T1053 - Scheduled Task/Job T1505 - Server Software Component T1133 - External Remote Services T1078 - Valid Accounts

⚖️ Saudi Risk Score (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all SharePoint Server instances in your environment (on-premises and hybrid deployments)

2. Audit Site Owner accounts and restrict privileges to essential personnel only

3. Enable audit logging for SharePoint to detect suspicious code execution

4. Implement network segmentation to limit SharePoint access



PATCHING:

1. Apply Microsoft security updates immediately for affected SharePoint versions (2019, 2016, 2013)

2. Prioritize production environments first, then development/test

3. Test patches in isolated environment before production deployment

4. Schedule maintenance windows with minimal business disruption



COMPENSATING CONTROLS (if patching delayed):

1. Restrict Site Owner role assignments to trusted administrators only

2. Implement conditional access policies requiring MFA for SharePoint access

3. Monitor and block suspicious PowerShell/code execution attempts

4. Disable custom code execution features if not required



DETECTION:

1. Monitor SharePoint ULS logs for code injection patterns

2. Alert on unexpected Site Owner privilege escalations

3. Track unusual file uploads to SharePoint libraries

4. Monitor for suspicious .aspx or .dll file modifications

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع نسخ SharePoint Server في بيئتك (النشرات المحلية والهجينة)

2. تدقيق حسابات مالكي المواقع وتقييد الامتيازات للموظفين الأساسيين فقط

3. تفعيل تسجيل التدقيق في SharePoint للكشف عن تنفيذ الأكواد المريبة

4. تطبيق تقسيم الشبكة لتحديد وصول SharePoint

التصحيح:

1. تطبيق تحديثات أمان Microsoft فوراً لإصدارات SharePoint المتأثرة (2019، 2016، 2013)

2. إعطاء الأولوية للبيئات الإنتاجية أولاً، ثم التطوير/الاختبار

3. اختبار التصحيحات في بيئة معزولة قبل نشر الإنتاج

4. جدولة نوافذ الصيانة بأقل قدر من تعطيل الأعمال

الضوابط البديلة (إذا تأخر التصحيح):

1. تقييد تعيينات دور مالك الموقع للمسؤولين الموثوقين فقط

2. تطبيق سياسات الوصول الشرطي التي تتطلب MFA لوصول SharePoint

3. مراقبة وحظر محاولات تنفيذ PowerShell/الأكواد المريبة

4. تعطيل ميزات تنفيذ الأكواد المخصصة إذا لم تكن مطلوبة

الكشف:

1. مراقبة سجلات SharePoint ULS لأنماط حقن الأكواد

2. التنبيه على تصعيد امتيازات مالك الموقع غير المتوقعة

3. تتبع تحميلات الملفات غير العادية إلى مكتبات SharePoint

4. مراقبة تعديلات ملفات .aspx أو .dll المريبة

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Access Control Policies ECC 2024 A.5.2.1 - User Registration and De-registration ECC 2024 A.5.3.1 - Access Rights Review ECC 2024 A.12.2.1 - Change Management ECC 2024 A.12.6.1 - Management of Technical Vulnerabilities

🔵 SAMA CSF

Governance & Risk Management - Vulnerability Management Information & Cybersecurity - Secure Development & Deployment Information & Cybersecurity - Access Control & Authentication Operational Resilience - Incident Management & Response

🟡 ISO 27001:2022

A.5.1 - Policies for information security A.5.2 - Information security roles and responsibilities A.6.1 - Screening A.8.1 - Asset management A.12.2 - Change management A.12.6 - Management of technical vulnerabilities

🟣 PCI DSS v4.0

Requirement 1 - Firewall configuration Requirement 2 - Default passwords Requirement 6 - Secure development and vulnerability management Requirement 7 - Restrict access to data by business need

🔗 References & Sources 0

No references.

📦 Affected Products / CPE 1 entries

Microsoft:SharePoint Server

📊 CVSS Score

9.0

/ 10.0 — Critical

📋 Quick Facts

Severity Critical

CVSS Score9.0

EPSS91.76%

Exploit ✓ Yes

Patch ✓ Yes

CISA KEV🇺🇸 Yes

KEV Due Date2024-04-16

Published 2024-03-26

Source Feed cisa_kev

🇸🇦 Saudi Risk Score

9.2

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

kev actively-exploited ransomware

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2023-24955

Introduce Yourself

Sign In Required