Уязвимость повышения уровня доступа в Microsoft SharePoint из-за некорректной обработки веб-запросов сервером SharePoint
Описание
Уязвимость повышения уровня доступа существует в Microsoft SharePoint Server, когда сервер некорректно проводит очистку специально сформированного веб-запроса.
Аутентифицированный злоумышленник способен использовать уязвимость, отправив специально сформированный запрос на уязвимый сервер SharePoint. Успешная эксплуатация уязвимости позволяет злоумышленнику выполнить межсайтовые скриптовые атаки на уязвимых системах и запускать скрипты в контексте безопасности текущего пользователя. Это позволяет злоумышленнику читать контент, для чтения которого он не авторизован, использовать личность жертвы для совершения действий на сайте SharePoint от имени пользователя, таких как изменение разрешений и удаление контента, а также внедрение вредоносного контента в браузер пользователя.
Условия эксплуатации
Злоумышленник должен быть авторизован на сервере и отправить специально сформированный запрос на уязвимый сервер SharePoint для успешной эксплуатации данной уязвимости.
Решение
Обновление безопасности устраняет уязвимость, обеспечивая корректную очистку веб-запросов сервером SharePoint.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SharePoint Foundation 2013 Service Pack 1 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
Связанные уязвимости
An elevation of privilege vulnerability exists in Microsoft SharePoint Foundation 2013 Service Pack 1 when it does not properly sanitize a specially crafted web request to an affected SharePoint server, aka "Microsoft SharePoint Cross Site Scripting Vulnerability".
An elevation of privilege vulnerability exists in Microsoft SharePoint Foundation 2013 Service Pack 1 when it does not properly sanitize a specially crafted web request to an affected SharePoint server, aka "Microsoft SharePoint Cross Site Scripting Vulnerability".
EPSS