Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2018-8254

Опубликовано: 12 июн. 2018
Источник: msrc
EPSS Низкий

Уязвимость повышения уровня доступа из-за некорректной обработки специально сформированного веб-запроса на уязвимом сервере SharePoint

Описание

Уязвимость повышения уровня доступа существует, когда Microsoft SharePoint Server некорректно обрабатывает специально сформированный веб-запрос. Аутентифицированный злоумышленник способен воспользоваться этой уязвимостью, отправив такой запрос на уязвимый сервер SharePoint.

Злоумышленник, успешно использующий уязвимость, может выполнять атаки типа "межсайтовый скриптинг" (XSS) на затронутых системах и запускать скрипты в контексте безопасности текущего пользователя. Эти атаки позволяют злоумышленнику читать содержание, к которому у него нет доступа, использовать личность жертвы для выполнения действий на сайте SharePoint от имени пользователя, таких как изменение прав доступа и удаление контента, а также внедрение вредоносного содержимого в браузере пользователя.

Условия эксплуатации

Для эксплуатации данной уязвимости злоумышленнику необходимо быть авторизованным пользователем на сервере SharePoint и отправить специально сформированный запрос на уязвимый сервер SharePoint.

Решение

Обновление безопасности закрывает уязвимость, обеспечивая правильную обработку веб-запросов сервером SharePoint.

Обновления

ПродуктСтатьяОбновление
Microsoft Project Server 2010 Service Pack 2
4022210
Security Update
Microsoft SharePoint Foundation 2013 Service Pack 1
4022190
Security Update
Microsoft SharePoint Enterprise Server 2016
4022173
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

EPSS

Процентиль: 74%
0.00869
Низкий

Связанные уязвимости

nvd логотип

CVE-2018-8254

CVSS3: 5.4
nvd
около 7 лет назад

An elevation of privilege vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka "Microsoft SharePoint Elevation of Privilege Vulnerability." This affects Microsoft Project Server, Microsoft SharePoint. This CVE ID is unique from CVE-2018-8252.

github логотип

GHSA-wq96-r46v-f46v

CVSS3: 5.4
github
больше 3 лет назад

An elevation of privilege vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka "Microsoft SharePoint Elevation of Privilege Vulnerability." This affects Microsoft Project Server, Microsoft SharePoint. This CVE ID is unique from CVE-2018-8252.

EPSS

Процентиль: 74%
0.00869
Низкий