Уязвимость XSS в Microsoft Office SharePoint из-за некорректной очистки входящих веб-запросов сервером SharePoint
Описание
Аутентифицированный злоумышленник способен эксплуатировать эту уязвимость, отправляя специально созданный запрос на сервер.
Злоумышленник, успешно эксплуатировавший уязвимость, способен выполнять XSS-атаки на уязвимых системах и запускать скрипты в контексте безопасности текущего пользователя. Такие атаки позволяют злоумышленнику читать контент, который ему не разрешено читать, использовать личность жертвы для выполнения действий на сайте SharePoint от имени пользователя, например, изменять права доступа, удалять контент и внедрять вредоносный контент в браузер пользователя.
Условия эксплуатации
Для эксплуатации уязвимости злоумышленник должен быть авторизованным пользователем на уязвимом сервере SharePoint и иметь возможность отправлять специально сформированные веб-запросы.
Решение
Обновление безопасности устраняет уязвимость, гарантируя, что сервер SharePoint корректно очищает входящие веб-запросы.
Часто задаваемые вопросы (FAQ)
Является ли обзорная панель вектором атаки для этой уязвимости?
Нет, обзорная панель не является вектором атаки.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SharePoint Foundation 2010 Service Pack 2 | ||
| Microsoft SharePoint Foundation 2013 Service Pack 1 | ||
| Microsoft SharePoint Enterprise Server 2016 | ||
| Microsoft SharePoint Server 2019 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'. This CVE ID is unique from CVE-2020-0893.
A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'. This CVE ID is unique from CVE-2020-0893.
Уязвимость пакетов программ Microsoft SharePoint Server, SharePoint Foundation и SharePoint Enterprise Server, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки и модернизировать данные
EPSS