Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2019-0670

Опубликовано: 12 фев. 2019
Источник: msrc
EPSS Низкий

Уязвимость спуфинга в Microsoft SharePoint из-за некорректной обработки HTTP-контента приложением

Описание

Злоумышленник, успешно использующий эту уязвимость, способен обмануть пользователя путем перенаправления его на специально созданный веб-сайт. Этот сайт может подделывать контент или служить точкой входа для атаки в сочетании с другими уязвимостями в веб-сервисах.

Условия эксплуатации

Для эксплуатации уязвимости пользователь должен кликнуть на специально созданный URL.

  • Сценарий атаки через приложение: злоумышленник может манипулировать специфическими параметрами и создать специально разработанный URL, чтобы попытаться убедить пользователя кликнуть по нему.

  • Веб-сценарий атаки: злоумышленник может разместить специально созданный веб-сайт, который выглядит как достоверный. Однако злоумышленник не способен заставить пользователя посетить этот сайт. Ему придется убедить пользователя, используя приманки в форме электронных писем или мгновенных сообщений, а затем убедить его взаимодействовать с контентом на сайте.

Решение

Обновление безопасности устраняет уязвимость, исправляя обработку URL-перенаправлений в Microsoft SharePoint.

Обновления

ПродуктСтатьяОбновление
Microsoft SharePoint Foundation 2013 Service Pack 1
4462143
Security Update
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
4462139
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

N/A

Older Software Release

Exploitation Less Likely

EPSS

Процентиль: 65%
0.00506
Низкий

Связанные уязвимости

nvd логотип

CVE-2019-0670

CVSS3: 6.1
nvd
больше 6 лет назад

A spoofing vulnerability exists in Microsoft SharePoint when the application does not properly parse HTTP content, aka 'Microsoft SharePoint Spoofing Vulnerability'.

github логотип

GHSA-7v8v-8cwj-4r67

CVSS3: 6.1
github
больше 3 лет назад

A spoofing vulnerability exists in Microsoft SharePoint when the application does not properly parse HTTP content, aka 'Microsoft SharePoint Spoofing Vulnerability'.

fstec логотип

BDU:2019-00936

CVSS3: 4.3
fstec
больше 6 лет назад

Уязвимость программного обеспечения для электронного документооборота Microsoft SharePoint Foundation и пакета программ Microsoft SharePoint Enterprise Server, связанная с ошибками анализа HTTP-содержимого веб-старницы, позволяющая нарушителю проводить фишинг-атаки и получить доступ к защищаемой информации

EPSS

Процентиль: 65%
0.00506
Низкий