Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2019-1070

Опубликовано: 08 окт. 2019
Источник: msrc
EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Microsoft SharePoint Server из-за некорректной обработки специальных веб-запросов

Описание

Данная уязвимость существует из-за того, что Microsoft SharePoint Server некорректно обрабатывает специально сформированный веб-запрос к уязвимому серверу SharePoint. Аутентифицированный злоумышленник способен использовать уязвимость, отправляя специально подготовленный запрос на уязвимый сервер SharePoint.

Успешная эксплуатация уязвимости позволяет злоумышленнику проводить XSS-атаки на уязвимых системах и выполнять скрипты в контексте безопасности текущего пользователя. Это может дать злоумышленнику возможность читать контент, к которому у него нет доступа, использовать личные данные жертвы для выполнения действий на сайте SharePoint от имени пользователя, изменять права доступа и удалять контент, а также внедрять вредоносный контент в браузер пользователя.

Условия эксплуатации

Для эксплуатации этой уязвимости злоумышленнику необходимо иметь аутентифицированный доступ к уязвимому серверу SharePoint. Особо сформированный запрос, отправленный злоумышленником, запускает XSS-атаку, позволяя выполнять различные действия от лица пользователя.

Решение

Обновление безопасности исправляет уязвимость за счет улучшенной обработки веб-запросов в SharePoint Server.

Часто задаваемые вопросы (FAQ)

Является ли Окно предпросмотра вектором атаки для этой уязвимости?

Нет, Окно предпросмотра не является вектором атаки.

Обновления

ПродуктСтатьяОбновление
Microsoft SharePoint Foundation 2013 Service Pack 1
4484122
Security Update
Microsoft SharePoint Enterprise Server 2016
4484111
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

N/A

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 80%
0.01417
Низкий

Связанные уязвимости

nvd логотип

CVE-2019-1070

CVSS3: 5.4
nvd
больше 6 лет назад

A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'.

github логотип

GHSA-mg6c-gfh2-q76m

CVSS3: 5.4
github
больше 3 лет назад

A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'.

fstec логотип

BDU:2019-03842

CVSS3: 5.4
fstec
больше 6 лет назад

Уязвимость программного обеспечения для электронного документооборота Microsoft SharePoint Foundation и пакета программ Microsoft SharePoint Enterprise Server, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки и выполнить произвольный код в контексте текущего пользователя

EPSS

Процентиль: 80%
0.01417
Низкий