Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2020-1099

Опубликовано: 12 мая 2020
Источник: msrc
EPSS Низкий

Уязвимость межсайтового скриптинга (XSS) в Microsoft Office SharePoint из-за некорректной обработки веб-запросов

Описание

Аутентифицированный злоумышленник способен использовать эту уязвимость, отправляя специально подготовленные запросы на уязвимый сервер SharePoint.

Злоумышленник, успешно использующий уязвимость, способен выполнять XSS-атаки на затронутых системах и запускать скрипты в безопасности текущего пользователя. Это позволяет злоумышленнику читать контент, который ему не разрешено читать, использовать идентичность жертвы для выполнения действий на сайте SharePoint от лица пользователя, таких как изменение разрешений и удаление контента, а также встраивание вредоносного контента в браузер пользователя.

Условия эксплуатации

Аутентифицированный злоумышленник способен использовать уязвимость, отправляя специально подготовленные запросы на уязвимый сервер SharePoint.

Решение

Обновление безопасности устраняет уязвимость, помогая обеспечить корректную обработку веб-запросов сервером SharePoint.

Обновления

ПродуктСтатьяОбновление
Microsoft SharePoint Enterprise Server 2016
4484336
Security Update
Microsoft SharePoint Server 2019
4484332
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 73%
0.00783
Низкий

Связанные уязвимости

nvd логотип

CVE-2020-1099

CVSS3: 5.4
nvd
больше 5 лет назад

A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'. This CVE ID is unique from CVE-2020-1100, CVE-2020-1101, CVE-2020-1106.

github логотип

GHSA-22r7-4wq2-qrrj

CVSS3: 5.4
github
больше 3 лет назад

A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft Office SharePoint XSS Vulnerability'. This CVE ID is unique from CVE-2020-1100, CVE-2020-1101, CVE-2020-1106.

fstec логотип

BDU:2020-02310

CVSS3: 8.8
fstec
больше 5 лет назад

Уязвимость пакетов программ Microsoft SharePoint Server и SharePoint Enterprise Server, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществить межсайтовую сценарную атаку

EPSS

Процентиль: 73%
0.00783
Низкий