Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2020-1440

Опубликовано: 08 сент. 2020
Источник: msrc
CVSS3: 6.3
EPSS Низкий

Уязвимость манипуляции данными в Microsoft SharePoint Server из-за некорректной обработки данных профиля

Описание

Злоумышленник, успешно эксплуатировавший эту уязвимость, способен изменить данные профиля целевого пользователя.

Условия эксплуатации

Для эксплуатации уязвимости злоумышленнику необходимо быть авторизованным на уязвимом SharePoint Server. Затем злоумышленник должен отправить специально модифицированный запрос на сервер, нацеленный на конкретного пользователя.

Решение

Обновление безопасности устраняет уязвимость, изменяя способ, которым Microsoft SharePoint Server обрабатывает данные профиля.

Обновления

ПродуктСтатьяОбновление
Microsoft SharePoint Server 2010 Service Pack 2
4486664
Security Update
Microsoft SharePoint Enterprise Server 2016
4484506
Security Update
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
4484515
Security Update
Microsoft SharePoint Server 2019
4484505
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 82%
0.01772
Низкий

6.3 Medium

CVSS3

Связанные уязвимости

nvd логотип

CVE-2020-1440

CVSS3: 6.3
nvd
больше 5 лет назад

<p>A tampering vulnerability exists when Microsoft SharePoint Server fails to properly handle profile data. An attacker who successfully exploited this vulnerability could modify a targeted user's profile data.</p> <p>To exploit the vulnerability, an attacker would need to be authenticated on an affected SharePoint Server. The attacker would then need to send a specially modified request to the server, targeting a specific user.</p> <p>The security update addresses the vulnerability by modifying how Microsoft SharePoint Server handles profile data.</p>

github логотип

GHSA-5r4c-r95m-h54g

CVSS3: 6.3
github
больше 3 лет назад

A tampering vulnerability exists when Microsoft SharePoint Server fails to properly handle profile data, aka 'Microsoft SharePoint Server Tampering Vulnerability'. This CVE ID is unique from CVE-2020-1523.

fstec логотип

BDU:2020-04436

CVSS3: 4.3
fstec
больше 5 лет назад

Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Foundation, Microsoft SharePoint Enterprise Server, связанная с недостаточной проверкой входных данных, позволяющая получить доступ на изменение данных

EPSS

Процентиль: 82%
0.01772
Низкий

6.3 Medium

CVSS3