Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-03882

Опубликовано: 21 окт. 2021
Источник: fstec
CVSS3: 6.3
CVSS2: 6.5

Описание

Уязвимость пакета программ Microsoft Office 365 связана с неверным сроком действия сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Microsoft Corp

Наименование ПО

Office 365

Версия ПО

- (Office 365)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Рекомендуется настроить функцию Continuous Access Evaluation (CAE), которая позволяет отозвать маркеры доступа на основе критических событий и оценки политики вместо того, чтобы дожидаться истечения их срока действия (Инструкции расположены по ссылке):
https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-continuous-access-evaluation

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

6.3 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-2076

nvd
больше 3 лет назад

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none

github логотип

GHSA-cpq7-q5w3-h8c8

CVSS3: 8.8
github
больше 3 лет назад

** DISPUTED ** A vulnerability has been found in Microsoft O365 and classified as critical. The session cookies introduce a session expiration issue as they might be used by two clients at the same time. The attack can be initiated remotely. Exploit details have been disclosed to the public. The real-world consequences of this vulnerability are still doubted at the moment. It is recommended to change the configuration settings. NOTE: Vendor claims that pre-requisites are very high, the feature works as intended, and that configuration settings might mitigate the issue.

6.3 Medium

CVSS3

6.5 Medium

CVSS2