Уязвимость повышения уровня доступа в Microsoft SharePoint из-за некорректной обработки специальных веб-запросов сервером SharePoint
Описание
Злоумышленник, который успешно воспользуется уязвимостью, способен выполнить атаки межсайтового скриптинга (XSS) на затронутых системах и запускать скрипты в контексте безопасности текущего пользователя. Это позволяет злоумышленнику читать содержимое, на чтение которого он не уполномочен, использовать личность жертвы для выполнения действий на сайте SharePoint от имени пользователя, таких как изменение разрешений и удаление контента, а также внедрять вредоносный контент в браузер пользователя.
Условия эксплуатации
Уязвимость может быть использована злоумышленником путем отправки специально созданного запроса на уязвимый сервер SharePoint. Для осуществления атаки злоумышленнику необходимо быть авторизованным на сервере.
Решение
Обновление безопасности устраняет уязвимость, улучшая механизм обработки сервером SharePoint веб-запросов, что помогает предотвратить некорректную обработку и снижение риска эксплуатации уязвимости.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SharePoint Server 2013 Service Pack 1 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
Microsoft SharePoint Server 2013 Service Pack 1 allows an elevation of privilege vulnerability when it fails to properly sanitize a specially crafted web request to an affected SharePoint server, aka "Microsoft SharePoint XSS Vulnerability".
Microsoft SharePoint Server 2013 Service Pack 1 allows an elevation of privilege vulnerability when it fails to properly sanitize a specially crafted web request to an affected SharePoint server, aka "Microsoft SharePoint XSS Vulnerability".
EPSS