• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Межсайтовое выполнение сценариев в OWA

Главная Специалистам База уязвимостей Межсайтовое выполнение сценариев в OWA

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Microsoft Exchange (Exchange Server 2013 CU7, Exchange Server 2013 SP1) Microsoft Updates (KB3040856, KB3062157, KB3087126, KB3124557)
Описание
Уязвимости в Microsoft Exchange Server, связанные с некорректным экранированием содержимого страниц в Outlook Web App, позволяют злоумышленникам повысить уровень своих привилегий, изменив определенные параметры Outlook Web App и убедив пользователя перейти на целевой сайт. Эксплуатация данных уязвимостей позволяет злоумышленнику запустить сценарий в контексте текущего пользователя.
Для эксплуатации данных уязвимостей атакуемый должен перейти по специально сформированной URL-ссылке, которая перенаправит его на целевой сайт Outlook Web App.
Как исправить
Используйте рекомендации производителя:
http://technet.microsoft.com/security/bulletin/ms15-026
Ссылки
MS (15-026): http://technet.microsoft.com/security/bulletin/ms15-026

Источник: CVE
Наименование: CVE-2015-1628
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1628

Источник: CVE
Наименование: CVE-2015-1629
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1629

Источник: CVE
Наименование: CVE-2015-1630
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1630

Источник: CVE
Наименование: CVE-2015-1632
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1632