Уязвимость межсайтового скриптинга (XSS) в Microsoft Office SharePoint из-за некорректной очистки веб-запросов сервером SharePoint
Описание
Уязвимость XSS возникает, когда Microsoft SharePoint Server некорректно очищает специально сформированные веб-запросы, отправленные на уязвимый сервер SharePoint. Аутентифицированный злоумышленник способен воспользоваться уязвимостью, отправив специально созданный запрос на уязвимый сервер SharePoint.
Успешно воспользовавшись уязвимостью, злоумышленник способен выполнить XSS-атаки на системах, которые подверглись воздействию, и запустить скрипт в контексте безопасности текущего пользователя. Эти атаки позволяют злоумышленнику читать данные, доступ к которым у него отсутствует, использовать личность жертвы для выполнения действий на сайте SharePoint от имени пользователя, например, изменять разрешения и удалять контент, а также внедрять вредоносный контент в браузер пользователя.
Условия эксплуатации
Злоумышленник должен иметь аутентифицированный доступ для отправки специально сформированного запроса на уязвимый сервер SharePoint.
Решение
Обновление безопасности исправляет уязвимость, обеспечивая правильную фильтрацию веб-запросов сервером SharePoint.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Business Productivity Servers 2010 Service Pack 2 | ||
| Microsoft SharePoint Enterprise Server 2016 | ||
| Microsoft SharePoint Enterprise Server 2013 Service Pack 1 | ||
| Microsoft SharePoint Server 2019 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
Связанные уязвимости
A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka "Microsoft Office SharePoint XSS Vulnerability." This affects Microsoft SharePoint Server, Microsoft SharePoint, Microsoft Business Productivity Servers. This CVE ID is unique from CVE-2019-0556, CVE-2019-0557.
A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka "Microsoft Office SharePoint XSS Vulnerability." This affects Microsoft SharePoint Server, Microsoft SharePoint, Microsoft Business Productivity Servers. This CVE ID is unique from CVE-2019-0556, CVE-2019-0557.
Уязвимость программной платформы Microsoft SharePoint Server, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю осуществить межсайтовую сценарную атаку
EPSS