Уязвимость повышения уровня доступа в Microsoft SharePoint из-за некорректной обработки веб-запросов
Описание
Уязвимость существует, когда сервер Microsoft SharePoint некорректно обрабатывает специально созданный веб-запрос, что может привести к возможности эксплуатации злоумышленником. Аутентифицированный злоумышленник способен использовать эту уязвимость, отправляя специальный запрос на затронутый сервер SharePoint.
Последствия
Злоумышленник, успешно эксплуатировавший уязвимость, способен выполнять DoS атаки на затронутые системы и запускать скрипты в контексте безопасности текущего пользователя. Эти атаки могут позволить злоумышленнику:
- Читать содержимое, к которому он не имеет прав доступа.
- Использовать личность жертвы для выполнения действий на сайте SharePoint от имени пользователя, такие как изменение прав и удаление содержимого.
- Внедрять вредоносный контент в браузер пользователя.
Условия эксплуатации
Злоумышленник должен быть авторизованным пользователем и отправить специально подготовленный веб-запрос на уязвимый сервер SharePoint.
Решение
Обновление безопасности устраняет уязвимость, обеспечивая правильную обработку веб-запросов сервером SharePoint.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SharePoint Foundation 2013 Service Pack 1 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
Microsoft SharePoint Server fails to sanitize crafted web requests, allowing remote attackers to run cross-script in local security context, aka "Microsoft SharePoint XSS Vulnerability."
Microsoft SharePoint Server fails to sanitize crafted web requests, allowing remote attackers to run cross-script in local security context, aka "Microsoft SharePoint XSS Vulnerability."
Уязвимость программного обеспечения для электронного документооборота Microsoft SharePoint Foundation, позволяющая нарушителю запустить кросс-скрипт в локальном контексте безопасности
EPSS