Уязвимость межсайтового скриптинга (XSS) в Active Directory Federation Services из-за некорректной обработки веб-запросов
Описание
Уязвимость межсайтового скриптинга (XSS) обнаружена в открытом исходном коде настроек Microsoft Active Directory Federation Services (AD FS). Проблема возникает из-за некорректной обработки специально сформированного веб-запроса к уязвимому серверу AD FS.
Аутентифицированный злоумышленник способен воспользоваться уязвимостью, отправив специально сформированный запрос на уязвимый сервер AD FS. Успешная эксплуатация уязвимости позволяет проводить межсайтовые скриптинговые атаки и запускать скрипты в контексте безопасности текущего пользователя. Такие атаки позволяют злоумышленнику читать контент, к которому у него нет доступа, использовать личность жертвы для выполнения действий на сайте AD FS от имени пользователя, таких как изменение разрешений и удаление контента, а также внедрять вредоносный контент в браузере пользователя.
Условия эксплуатации
Для успешного использования уязвимости злоумышленнику необходимо быть авторизованным пользователем и отправить специально сформированный запрос на уязвимый сервер AD FS.
Решение
Обновление безопасности устраняет уязвимость, обеспечивая корректную обработку веб-запросов открытом исходном коде настроек для AD FS.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 8.1 for 32-bit systems | ||
| Windows 8.1 for x64-based systems | ||
| Windows Server 2012 R2 | ||
| Windows RT 8.1 | - | |
| Windows Server 2012 R2 (Server Core installation) | ||
| Windows Server 2016 | ||
| Windows 10 Version 1607 for 32-bit Systems | ||
| Windows 10 Version 1607 for x64-based Systems | ||
| Windows Server 2016 (Server Core installation) | ||
| Windows 10 Version 1709 for 32-bit Systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
6.5 Medium
CVSS3
Связанные уязвимости
A cross-site-scripting (XSS) vulnerability exists when an open source customization for Microsoft Active Directory Federation Services (AD FS) does not properly sanitize a specially crafted web request to an affected AD FS server, aka "Active Directory Federation Services XSS Vulnerability." This affects Windows Server 2012 R2, Windows RT 8.1, Windows Server 2019, Windows Server 2016, Windows 8.1, Windows 10, Windows 10 Servers.
A cross-site-scripting (XSS) vulnerability exists when an open source customization for Microsoft Active Directory Federation Services (AD FS) does not properly sanitize a specially crafted web request to an affected AD FS server, aka "Active Directory Federation Services XSS Vulnerability." This affects Windows Server 2012 R2, Windows RT 8.1, Windows Server 2019, Windows Server 2016, Windows 8.1, Windows 10, Windows 10 Servers.
EPSS
6.5 Medium
CVSS3