Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2019-1328

Опубликовано: 08 окт. 2019
Источник: msrc
EPSS Низкий

Уязвимость спуфинга в Microsoft SharePoint из-за некорректной обработки специально созданных веб-запросов на сервере SharePoint

Описание

В Microsoft SharePoint Server существует уязвимость небезопасного взаимодействия с контентом (спуфинг), когда сервер некорректно обрабатывает специально созданный веб-запрос. Аутентифицированный злоумышленник способен использовать эту уязвимость, отправив специально созданный запрос на уязвимый сервер SharePoint.

Злоумышленник, успешно использовавший уязвимость, способен выполнять атаки межсайтового скриптинга (XSS) на уязвимых системах, а также запускать сценарии в контексте безопасности текущего пользователя. Эти атаки могут позволить злоумышленнику читать содержимое, для которого у него нет аутентификации, использовать личность жертвы для выполнения действий на сайте SharePoint от имени пользователя, таких как изменение разрешений и удаление контента, а также встраивание вредоносного контента в браузер пользователя.

Условия эксплуатации

Злоумышленник должен быть авторизованным пользователем и отправить специально созданный веб-запрос на уязвимый сервер SharePoint.

Решение

Обновление безопасности решает проблему уязвимости, обеспечивая правильную обработку веб-запросов сервером SharePoint.

Часто задаваемые вопросы (FAQ)

Является ли Окно предпросмотра вектором атаки для этой уязвимости?

Нет, Окно предпросмотра не является вектором атаки.

Обновления

ПродуктСтатьяОбновление
Microsoft SharePoint Foundation 2010 Service Pack 2
4484131
Security Update
Microsoft SharePoint Foundation 2013 Service Pack 1
4484122
Security Update
Microsoft SharePoint Enterprise Server 2016
4484111
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

N/A

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 68%
0.00595
Низкий

Связанные уязвимости

nvd логотип

CVE-2019-1328

CVSS3: 5.4
nvd
почти 6 лет назад

A spoofing vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft SharePoint Spoofing Vulnerability'.

github логотип

GHSA-3vfw-f9fg-pj3x

CVSS3: 5.4
github
больше 3 лет назад

A spoofing vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft SharePoint Spoofing Vulnerability'.

fstec логотип

BDU:2019-03698

CVSS3: 5.4
fstec
почти 6 лет назад

Уязвимость пакетов программ Microsoft SharePoint Enterprise Server и Microsoft SharePoint Foundation, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществить межсайтовую сценарную атаку

EPSS

Процентиль: 68%
0.00595
Низкий