CVE-2020-1443

Опубликовано: 14 июл. 2020

Источник: msrc

EPSS Низкий

Уязвимость спуфинга в Microsoft SharePoint из-за некорректной очистки специально сформированных веб-запросов сервером SharePoint

Описание

Аутентифицированный злоумышленник способен эксплуатировать уязвимость путем отправки такого запроса.

Эксплуатировав уязвимость, злоумышленник способен совершать атаки с использованием межсайтового скриптинга (XSS) на уязвимых системах и запускать скрипты в контексте безопасности текущего пользователя. Эти атаки могут позволить злоумышленнику читать данные, к которым он не авторизован, использовать личность жертвы для выполнения действий на сайте SharePoint от имени пользователя, таких как изменение разрешений и удаление контента, а также внедрение вредоносного контента в браузер пользователя.

Условия эксплуатации

Аутентифицированный злоумышленник способен эксплуатировать уязвимость путем отправки специально сформированного запроса к уязвимому серверу SharePoint.

Решение

Обновление безопасности устраняет уязвимость, помогая серверу SharePoint корректно очищать веб-запросы.

Обновления

Продукт	Статья	Обновление
Microsoft SharePoint Foundation 2013 Service Pack 1	4484448	Security Update
Microsoft SharePoint Enterprise Server 2016	4484436	Security Update
Microsoft SharePoint Server 2019	4484453	Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

Exploited

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 81%

0.01523

Низкий

Связанные уязвимости

CVE-2020-1443

CVSS3: 5.4

nvd

больше 5 лет назад

A spoofing vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server, aka 'Microsoft SharePoint Spoofing Vulnerability'.

GHSA-w97w-4jr9-q2r8

github

больше 3 лет назад

BDU:2020-03511