Уязвимость межсайтового скриптинга (XSS) в Microsoft Office SharePoint из-за некорректной очистки запросов на сервере SharePoint
Описание
Аутентифицированный злоумышленник способен использовать эту уязвимость, отправляя специально сформированный запрос на затронутый сервер SharePoint.
Если злоумышленник успешно эксплуатирует уязвимость, он способен выполнять межсайтовые скриптинговые атаки на затронутых системах и запускать скрипт в контексте безопасности текущего пользователя. Такие атаки могут позволить злоумышленнику прочитать контент, к которому у него нет доступа, использовать идентичность жертвы для выполнения действий на сайте SharePoint от имени пользователя, таких как изменение разрешений и удаление контента, а также внедрять вредоносный контент в браузер пользователя.
Условия эксплуатации
Уязвимость эксплуатируется злоумышленником с помощью отправки специально сформированного запроса на сервер SharePoint.
Решение
Обновление безопасности устраняет уязвимость, обеспечивая корректную обработку веб-запросов сервером SharePoint.
Часто задаваемые вопросы (FAQ)
Является ли Панель предварительного просмотра вектором атаки для этой уязвимости?
Нет, Панель предварительного просмотра не является вектором атаки.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Project Server 2013 Service Pack 1 (64-bit edition) | ||
| Microsoft SharePoint Enterprise Server 2016 | ||
| Microsoft SharePoint Server 2019 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'. This CVE ID is unique from CVE-2020-0923, CVE-2020-0924, CVE-2020-0925, CVE-2020-0926, CVE-2020-0927, CVE-2020-0930, CVE-2020-0933, CVE-2020-0973, CVE-2020-0978.
A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'. This CVE ID is unique from CVE-2020-0923, CVE-2020-0924, CVE-2020-0925, CVE-2020-0926, CVE-2020-0927, CVE-2020-0930, CVE-2020-0933, CVE-2020-0973, CVE-2020-0978.
Уязвимость пакетов программ Microsoft SharePoint Server, SharePoint Enterprise Server, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
EPSS