Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2019-0956

Опубликовано: 14 мая 2019
Источник: msrc
EPSS Средний

Уязвимость в Microsoft SharePoint Server, связанная с раскрытием информации, из-за некорректной обработки специально сформированных веб-запросов

Описание

Уязвимость возникает, когда сервер некорректно очищает специально сформированный веб-запрос. Аутентифицированный злоумышленник способен воспользоваться этой уязвимостью, отправив специальный запрос на уязвимый сервер SharePoint.

Успешная эксплуатация уязвимости позволяет злоумышленнику проводить атаки типа межсайтового скриптинга, исполнять скрипт в безопасности текущего пользователя, читать контент, к которому у него нет доступа, действовать от имени пользователя на сайте SharePoint (например, изменять разрешения и удалять контент), а также внедрять вредоносный код в браузер пользователя.

Условия эксплуатации

  • Успешная эксплуатация требует, чтобы злоумышленник был авторизованным пользователем на сервере SharePoint.
  • Злоумышленник отправляет специальный веб-запрос на уязвимый сервер.

Решение

Обновление безопасности устраняет уязвимость, обеспечивая правильную очистку веб-запросов на сервере SharePoint.

Часто задаваемые вопросы (FAQ)

Какой тип информации может быть раскрыт из-за этой уязвимости?

Если злоумышленник успешно воспользуется уязвимостью, может быть раскрыта личная идентифицируемая информация (PII).

Является ли Окно предпросмотра вектором атаки для этой уязвимости?

Нет, Окно предпросмотра не является вектором атаки.

Обновления

ПродуктСтатьяОбновление
Microsoft SharePoint Foundation 2013 Service Pack 1
4464564
Security Update
Microsoft SharePoint Enterprise Server 2016
4464549
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

N/A

Older Software Release

Exploitation Less Likely

EPSS

Процентиль: 93%
0.10949
Средний

Связанные уязвимости

nvd логотип

CVE-2019-0956

CVSS3: 6.5
nvd
больше 6 лет назад

An information disclosure vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft SharePoint Server Information Disclosure Vulnerability'.

github логотип

GHSA-rj3q-3h4q-28hh

github
больше 3 лет назад

An information disclosure vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft SharePoint Server Information Disclosure Vulnerability'.

fstec логотип

BDU:2019-02019

CVSS3: 6.5
fstec
больше 6 лет назад

Уязвимость программного обеспечения для электронного документооборота Microsoft SharePoint Foundation и пакета программ Microsoft SharePoint Enterprise Server, связанная с отсутствием защиты служебных данных, позволяющая нарушителю осуществлять межсайтовые сценарные атаки

EPSS

Процентиль: 93%
0.10949
Средний