Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2019-0963

Опубликовано: 14 мая 2019
Источник: msrc
EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Microsoft Office SharePoint из-за некорректной фильтрации веб-запросов сервером SharePoint

Описание

Уязвимость Cross-Site Scripting (XSS) присутствует, когда Microsoft SharePoint Server некорректно фильтрует специально сформированный веб-запрос к уязвимому серверу SharePoint. Аутентифицированный злоумышленник способен использовать уязвимость, отправив специально сформированный запрос на уязвимый сервер SharePoint.

Злоумышленник, успешно использовавший уязвимость, способен осуществлять XSS-атаки на уязвимых системах и выполнять скрипты в контексте безопасности текущего пользователя. Эти атаки могут позволить злоумышленнику читать контент, к которому у него нет прав доступа, использовать личность жертвы для выполнения действий на сайте SharePoint от имени пользователя, таких как изменение разрешений и удаление контента, а также внедрение вредоносного контента в браузер пользователя.

Условия эксплуатации

Аутентифицированный злоумышленник способен эксплуатировать уязвимость путем отправки специально сформированного запроса на уязвимый сервер SharePoint.

Решение

Обновление безопасности устраняет уязвимость, помогая гарантировать, что SharePoint Server корректно фильтрует веб-запросы.

Часто задаваемые вопросы (FAQ)

Является ли Окно предпросмотра вектором атаки для этой уязвимости?

Нет, Окно предпросмотра не является вектором атаки.

Обновления

ПродуктСтатьяОбновление
Microsoft SharePoint Foundation 2013 Service Pack 1
4464564
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

N/A

Older Software Release

Exploitation Less Likely

EPSS

Процентиль: 68%
0.00578
Низкий

Связанные уязвимости

nvd логотип

CVE-2019-0963

CVSS3: 5.4
nvd
больше 6 лет назад

A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'.

github логотип

GHSA-9w3g-5c68-9696

CVSS3: 5.4
github
больше 3 лет назад

A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'.

fstec логотип

BDU:2019-02026

CVSS3: 5.4
fstec
больше 6 лет назад

Уязвимость программного обеспечения для электронного документооборота Microsoft SharePoint Foundation, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять атаки межсайтового выполнения сценариев и оказывать воздействие на конфиденциальность защищаемой информации

EPSS

Процентиль: 68%
0.00578
Низкий