Уязвимость разглашения информации в Microsoft SharePoint из-за уязвимостей в поисковой функции сервера, которые делают его подверженным к атакам межсайтового поиска
Описание
В Microsoft SharePoint Server существует уязвимость разглашения информации, при которой определенные режимы функции поиска подвержены атакам межсайтового поиска (варианту межсайтовой подделки запроса, CSRF). Злоумышленник способен использовать стандартную функциональность браузера для запуска поисковых запросов от имени авторизованного пользователя SharePoint. Хотя злоумышленник не может получить доступ к самим результатам поиска или документам, он способен определить, возвращает ли запрос результаты. Таким образом, злоумышленник может, отправляя целевые запросы, обнаруживать информацию о документах, доступных для авторизованного пользователя.
Решение
Обновление безопасности устраняет уязвимость, выполняя поисковые запросы таким образом, чтобы они не были подвержены данной уязвимости браузера.
Часто задаваемые вопросы (FAQ)
Какая информация может быть раскрыта из-за этой уязвимости?
Информация, которая может быть раскрыта при успешной эксплуатации данной уязвимости, это несанкционированный доступ к файловой системе — чтение данных из файловой системы.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SharePoint Foundation 2013 Service Pack 1 | ||
| Microsoft SharePoint Enterprise Server 2016 | ||
| Microsoft SharePoint Server 2019 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
An information disclosure vulnerability exists where certain modes of the search function in Microsoft SharePoint Server are vulnerable to cross-site search attacks (a variant of cross-site request forgery, CSRF).When users are simultaneously logged in to Microsoft SharePoint Server and visit a malicious web page, the attacker can, through standard browser functionality, induce the browser to invoke search queries as the logged in user, aka 'Microsoft SharePoint Information Disclosure Vulnerability'.
An information disclosure vulnerability exists where certain modes of the search function in Microsoft SharePoint Server are vulnerable to cross-site search attacks (a variant of cross-site request forgery, CSRF).When users are simultaneously logged in to Microsoft SharePoint Server and visit a malicious web page, the attacker can, through standard browser functionality, induce the browser to invoke search queries as the logged in user, aka 'Microsoft SharePoint Information Disclosure Vulnerability'.
Уязвимость пакетов программ Microsoft SharePoint Server, SharePoint Foundation и SharePoint Enterprise Server, связанная с некорректной обработкой запросов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS