Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Microsoft Exchange
(Exchange Server 2013 CU7, Exchange Server 2013 SP1)
Microsoft Updates
(KB3040856, KB3062157, KB3087126, KB3124557)
Описание
Уязвимости в Microsoft Exchange Server, связанные с некорректным экранированием содержимого страниц в Outlook Web App, позволяют злоумышленникам повысить уровень своих привилегий, изменив определенные параметры Outlook Web App и убедив пользователя перейти на целевой сайт. Эксплуатация данных уязвимостей позволяет злоумышленнику запустить сценарий в контексте текущего пользователя.
Для эксплуатации данных уязвимостей атакуемый должен перейти по специально сформированной URL-ссылке, которая перенаправит его на целевой сайт Outlook Web App.
Для эксплуатации данных уязвимостей атакуемый должен перейти по специально сформированной URL-ссылке, которая перенаправит его на целевой сайт Outlook Web App.
Как исправить
Используйте рекомендации производителя:
http://technet.microsoft.com/security/bulletin/ms15-026
http://technet.microsoft.com/security/bulletin/ms15-026
Ссылки
MS (15-026): http://technet.microsoft.com/security/bulletin/ms15-026
Источник: CVE
Наименование: CVE-2015-1628
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1628
Источник: CVE
Наименование: CVE-2015-1629
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1629
Источник: CVE
Наименование: CVE-2015-1630
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1630
Источник: CVE
Наименование: CVE-2015-1632
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1632
Источник: CVE
Наименование: CVE-2015-1628
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1628
Источник: CVE
Наименование: CVE-2015-1629
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1629
Источник: CVE
Наименование: CVE-2015-1630
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1630
Источник: CVE
Наименование: CVE-2015-1632
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1632