Уязвимость межсайтового скриптинга в ADFS из-за некорректной верификации сообщений об ошибках
Описание
Существует уязвимость межсайтового скриптинга (XSS) в Active Directory Federation Services (ADFS), которая проявляется, когда система некорректно обрабатывает сообщения об ошибках. Злоумышленник способен воспользоваться уязвимостью, отправив специально сформированный запрос на уязвимый сервер ADFS.
Условия эксплуатации
Чтобы воспользоваться данной уязвимостью, злоумышленник должен быть авторизован на сервере ADFS. Успешная эксплуатация уязвимости позволяет злоумышленнику выполнять XSS-атаки на затронутых системах, запускать скрипты в контексте безопасности текущего пользователя. Это предоставляет возможность злоумышленнику читать контент, к которому он не имеет доступа, действовать от имени жертвы на сайте ADFS, изменять разрешения, удалять контент и встраивать вредоносные данные в браузер пользователя.
Решение
Обновление безопасности устраняет эту уязвимость, обеспечивая корректную верификацию сообщений об ошибках в ADFS.
Часто задаваемые вопросы (FAQ)
Что такое уязвимость межсайтового скриптинга (XSS)?
Уязвимость XSS позволяет злоумышленнику внедрять вредоносные скрипты в веб-страницы, которые затем выполняются в браузере других пользователей.
Как злоумышленник может использовать эту уязвимость?
Злоумышленник, аутентифицированный на сервере ADFS, способен отправить специально сформированный запрос, который позволяет ему совершать XSS-атаки, читать чужой контент и действовать от имени пользователя.
Как можно исправить эту уязвимость?
Эту уязвимость устраняет обновление безопасности, которое обеспечивает корректную верификацию сообщений об ошибках в ADFS.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 10 Version 1803 for 32-bit Systems | ||
| Windows 10 Version 1803 for x64-based Systems | ||
| Windows Server, version 1803 (Server Core Installation) | ||
| Windows 10 Version 1803 for ARM64-based Systems | ||
| Windows 10 Version 1809 for 32-bit Systems | ||
| Windows 10 Version 1809 for x64-based Systems | ||
| Windows 10 Version 1809 for ARM64-based Systems | ||
| Windows Server 2019 | ||
| Windows Server 2019 (Server Core installation) | ||
| Windows 10 Version 1903 for 32-bit Systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
8.2 High
CVSS3
Связанные уязвимости
A cross-site-scripting (XSS) vulnerability exists when Active Directory Federation Services (ADFS) does not properly sanitize certain error messages, aka 'Active Directory Federation Services XSS Vulnerability'.
A cross-site-scripting (XSS) vulnerability exists when Active Directory Federation Services (ADFS) does not properly sanitize certain error messages, aka 'Active Directory Federation Services XSS Vulnerability'.
Уязвимость службы Active Directory Federation Services (ADFS) операционных систем Windows, позволяющая нарушителю осуществить межсайтовую сценарную атаку
EPSS
8.2 High
CVSS3