Уязвимость повышения уровня доступа в SharePoint, при которой сервер некорректно обрабатывает специально подготовленный веб-запрос
Описание
Злоумышленник может использовать уязвимость, отправив специально подготовленный запрос на затронутый сервер SharePoint. В случае успешной эксплуатации уязвимости злоумышленник способен выполнять атаки межсайтового скриптинга (XSS) на затронутых системах и запускать скрипты в контексте безопасности текущего пользователя.
Эти атаки могут позволить злоумышленнику:
- Читать содержимое, к которому он не имеет доступа,
- Использовать личность жертвы для выполнения действий на сайте SharePoint от имени пользователя, такие как изменение прав доступа и удаление контента,
- Внедрять вредоносный контент в браузер пользователя.
Условия эксплуатации
- Злоумышленник должен иметь аутентифицированный доступ к затронутому серверу SharePoint.
- Злоумышленнику необходимо отправить специально подготовленный веб-запрос к серверу.
Решение
Обновление безопасности устраняет уязвимость, обеспечивая корректную обработку веб-запросов сервером SharePoint.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SharePoint Foundation 2013 Service Pack 1 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
Microsoft SharePoint Foundation 2013 SP1 allows an elevation of privilege vulnerability when it does not properly sanitize a specially crafted web request, aka "Microsoft SharePoint XSS Vulnerability".
Microsoft SharePoint Foundation 2013 SP1 allows an elevation of privilege vulnerability when it does not properly sanitize a specially crafted web request, aka "Microsoft SharePoint XSS Vulnerability".
EPSS