CVE-2020-1148

Опубликовано: 09 июн. 2020

Источник: msrc

EPSS Низкий

Уязвимость спуфинга в Microsoft SharePoint из-за некорректной обработки специально сформированных веб-запросов сервером SharePoint

Описание

Злоумышленник, обладающий аутентификацией, способен использовать уязвимость, отправив специально сформированный запрос на уязвимый сервер SharePoint.

После успешной эксплуатации уязвимости злоумышленник может провести атаки межсайтового скриптинга и запустить скрипт в контексте безопасности текущего пользователя. Эти атаки позволяют злоумышленнику читать контент, на чтение которого у него нет разрешения, использовать идентичность жертвы для выполнения действий на сайте SharePoint, например, изменения разрешений и удаления контента, а также внедрения вредоносного контента в браузер пользователя.

Решение

Обновление безопасности решает проблему уязвимости, обеспечивая корректную обработку веб-запросов сервером SharePoint.

Часто задаваемые вопросы (FAQ)

Является ли Окно предпросмотра вектором атаки для этой уязвимости?

Нет, Окно предпросмотра не является вектором атаки.

Обновления

Продукт	Статья	Обновление
Microsoft SharePoint Server 2010 Service Pack 2	4484414	Security Update
Microsoft SharePoint Enterprise Server 2016	4484402	Security Update
Microsoft SharePoint Enterprise Server 2013 Service Pack 1	4484405	Security Update
Microsoft SharePoint Server 2019	4484400	Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

Exploited

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 76%

0.00931

Низкий

Связанные уязвимости

CVE-2020-1148

CVSS3: 5.4

nvd

больше 5 лет назад

A spoofing vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft SharePoint Spoofing Vulnerability'. This CVE ID is unique from CVE-2020-1289.

GHSA-g8ff-2gcg-pj3m

github

больше 3 лет назад

BDU:2020-03683