Уязвимость XSS в Microsoft Office SharePoint из-за некорректной обработки веб-запросов в сервере SharePoint
Описание
Аутентифицированный злоумышленник способен воспользоваться этой уязвимостью, отправив такой запрос на уязвимый сервер SharePoint.
При успешной эксплуатации уязвимости злоумышленник получает возможность выполнять атаки межсайтового скриптинга на затронутых системах и запускать скрипты в контексте безопасности текущего пользователя. Это позволяет злоумышленнику читать контент, к которому он не авторизован, использовать личность жертвы для выполнения действий на сайте SharePoint от имени пользователя, как, например, изменение разрешений и удаление контента, а также внедрять вредоносный контент в браузер пользователя.
Условия эксплуатации
Для эксплуатации данной уязвимости злоумышленнику необходимо быть авторизованным пользователем SharePoint и иметь возможность отправить специально сформированный запрос на сервер.
Решение
Обновление безопасности устраняет уязвимость, гарантируя корректную обработку веб-запросов сервером SharePoint.
Часто задаваемые вопросы (FAQ)
Является ли Панель предварительного просмотра вектором атаки для этой уязвимости?
Нет, Панель предварительного просмотра не является вектором атаки.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SharePoint Foundation 2010 Service Pack 2 | ||
| Microsoft SharePoint Foundation 2013 Service Pack 1 | ||
| Microsoft SharePoint Enterprise Server 2016 | ||
| Microsoft SharePoint Server 2019 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'. This CVE ID is unique from CVE-2020-0923, CVE-2020-0924, CVE-2020-0926, CVE-2020-0927, CVE-2020-0930, CVE-2020-0933, CVE-2020-0954, CVE-2020-0973, CVE-2020-0978.
A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'. This CVE ID is unique from CVE-2020-0923, CVE-2020-0924, CVE-2020-0926, CVE-2020-0927, CVE-2020-0930, CVE-2020-0933, CVE-2020-0954, CVE-2020-0973, CVE-2020-0978.
Уязвимость пакетов программ Microsoft SharePoint Server, SharePoint Foundation и SharePoint Enterprise Server, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
EPSS