Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2020-1460

Опубликовано: 08 сент. 2020
Источник: msrc
CVSS3: 8.6
EPSS Низкий

Уязвимость удаленного выполнения кода в Microsoft SharePoint Server из-за некорректной идентификации и фильтрации небезопасных веб-элементов ASP.Net

Описание

Аутентифицированный злоумышленник, успешно воспользовавшийся этой уязвимостью, способен использовать специально созданную страницу для выполнения действий в контексте безопасности процесса пула приложений SharePoint.

Условия эксплуатации

Для эксплуатации уязвимости аутентифицированный пользователь должен создать и запустить специально созданную страницу на уязвимой версии Microsoft SharePoint Server.

Решение

Обновление безопасности устраняет уязвимость, корректируя процесс обработки созданного контента в Microsoft SharePoint Server.

Обновления

ПродуктСтатьяОбновление
Microsoft SharePoint Foundation 2010 Service Pack 2
4486667
Security Update
Microsoft SharePoint Foundation 2013 Service Pack 1
4484488
Security Update
Microsoft SharePoint Enterprise Server 2016
4484506
Security Update
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
4484515
Security Update
Microsoft SharePoint Server 2019
4484505
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 89%
0.04724
Низкий

8.6 High

CVSS3

Связанные уязвимости

nvd логотип

CVE-2020-1460

CVSS3: 8.6
nvd
больше 5 лет назад

<p>A remote code execution vulnerability exists in Microsoft SharePoint Server when it fails to properly identify and filter unsafe ASP.Net web controls. An authenticated attacker who successfully exploited the vulnerability could use a specially crafted page to perform actions in the security context of the SharePoint application pool process.</p> <p>To exploit the vulnerability, an authenticated user must create and invoke a specially crafted page on an affected version of Microsoft SharePoint Server.</p> <p>The security update addresses the vulnerability by correcting how Microsoft SharePoint Server handles processing of created content.</p>

github логотип

GHSA-g6v8-9xmp-8q7p

CVSS3: 8.6
github
больше 3 лет назад

A remote code execution vulnerability exists in Microsoft SharePoint Server when it fails to properly identify and filter unsafe ASP.Net web controls, aka 'Microsoft SharePoint Server Remote Code Execution Vulnerability'.

fstec логотип

BDU:2020-04299

CVSS3: 8.8
fstec
больше 5 лет назад

Уязвимость компонента ASP.Net пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Foundation, Microsoft SharePoint Enterprise Server, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 89%
0.04724
Низкий

8.6 High

CVSS3