Уязвимость удаленного выполнения кода в Microsoft SharePoint Server из-за некорректной фильтрации небезопасных веб-элементов ASP.Net
Описание
Аутентифицированный злоумышленник, успешно эксплуатировавший данную уязвимость, способен использовать специально созданную страницу для выполнения действий в контексте безопасности процесса пула приложений SharePoint.
Условия эксплуатации
Для эксплуатации уязвимости злоумышленник должен быть авторизованным пользователем, который создает и вызывает специально созданную страницу на уязвимой версии Microsoft SharePoint Server.
Решение
Обновление безопасности устраняет уязвимость путем исправления обработки контента, созданного в Microsoft SharePoint Server.
Часто задаваемые вопросы (FAQ)
Является ли Окно предпросмотра вектором атаки для этой уязвимости?
Нет, Окно предпросмотра не является вектором атаки.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SharePoint Foundation 2013 Service Pack 1 | ||
| Microsoft SharePoint Enterprise Server 2016 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
Связанные уязвимости
A remote code execution vulnerability exists in Microsoft SharePoint Server when it fails to properly identify and filter unsafe ASP.Net web controls, aka 'Microsoft SharePoint Server Remote Code Execution Vulnerability'.
A remote code execution vulnerability exists in Microsoft SharePoint Server when it fails to properly identify and filter unsafe ASP.Net web controls, aka 'Microsoft SharePoint Server Remote Code Execution Vulnerability'.
Уязвимость программного обеспечения для электронного документооборота Microsoft SharePoint Foundation и пакета программ Microsoft SharePoint Enterprise Server, связанная с ошибками в настройках безопасности, позволяющая нарушителю выполнить произвольный код
EPSS