BDU:2019-02663

Опубликовано: 09 июл. 2019

Источник: fstec

CVSS3: 3.5

CVSS2: 4

EPSS Низкий

Описание

Уязвимость почтового сервера Microsoft Exchange Server связана с недостаточной очисткой предоставленных пользователем данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить атаки межсайтового выполнения сценариев и выполнить произвольный код в контексте текущего пользователя в результате отправки специально созданного запроса на сервер Exchange

Вендор

Microsoft Corp

Наименование ПО

Microsoft Exchange Server

Версия ПО

2016 Cumulative Update 12 (Microsoft Exchange Server)

2019 Cumulative Update 1 (Microsoft Exchange Server)

2013 Cumulative Update 23 (Microsoft Exchange Server)

2016 Cumulative Update 13 (Microsoft Exchange Server)

2019 Cumulative Update 2 (Microsoft Exchange Server)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)

Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1137

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-1137
CVE

EPSS

Процентиль: 73%

0.00799

Низкий

3.5 Low

CVSS3

4 Medium

CVSS2

Связанные уязвимости

CVE-2019-1137

CVSS3: 5.4

nvd

около 6 лет назад

A cross-site-scripting (XSS) vulnerability exists when Microsoft Exchange Server does not properly sanitize a specially crafted web request to an affected Exchange server, aka 'Microsoft Exchange Server Spoofing Vulnerability'.

CVE-2019-1137

msrc

около 6 лет назад

Microsoft Exchange Server Spoofing Vulnerability

GHSA-627q-5fv4-r68q

github

больше 3 лет назад