Уязвимость межсайтового скриптинга (XSS) в Microsoft Office SharePoint из-за некорректной обработки веб-запросов на сервере SharePoint
Описание
Аутентифицированный злоумышленник способен использовать эту уязвимость, отправляя специально сформированные запросы на уязвимый сервер SharePoint.
Успешная эксплуатация уязвимости позволяет злоумышленнику выполнять межсайтовые скриптинговые атаки на затронутых системах, выполняя скрипты в контексте безопасности текущего пользователя. Это позволяет злоумышленнику читать контент, к которому у него нет доступа, использовать идентичность жертвы для выполнения действий на SharePoint сайте от имени пользователя, таких как изменение разрешений и удаление контента, а также внедрение вредоносного контента в браузер пользователя.
Условия эксплуатации
Для эксплуатации уязвимости злоумышленнику необходимо быть авторизованным пользователем на сервере Microsoft SharePoint и отправить специальным образом сформированный запрос на уязвимый сервер SharePoint.
Решение
Обновление безопасности устраняет уязвимость, обеспечивая корректную обработку веб-запросов на сервере SharePoint.
Часто задаваемые вопросы (FAQ)
Является ли Окно предпросмотра вектором атаки для этой уязвимости?
Нет, Окно предпросмотра не является вектором атаки.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SharePoint Server 2010 Service Pack 2 | ||
| Microsoft SharePoint Enterprise Server 2016 | ||
| Microsoft SharePoint Enterprise Server 2013 Service Pack 1 | ||
| Microsoft SharePoint Server 2019 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'. This CVE ID is unique from CVE-2020-0923, CVE-2020-0924, CVE-2020-0925, CVE-2020-0926, CVE-2020-0927, CVE-2020-0930, CVE-2020-0933, CVE-2020-0954, CVE-2020-0978.
A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'. This CVE ID is unique from CVE-2020-0923, CVE-2020-0924, CVE-2020-0925, CVE-2020-0926, CVE-2020-0927, CVE-2020-0930, CVE-2020-0933, CVE-2020-0954, CVE-2020-0978.
Уязвимость пакетов программ Microsoft SharePoint Server и SharePoint Enterprise Server, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
EPSS