• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Межсайтовое выполнение сценариев в Microsoft SharePoint

Главная Специалистам База уязвимостей Межсайтовое выполнение сценариев в Microsoft SharePoint

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:S/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Microsoft SharePoint Foundation (2013, 2013 SP1) Microsoft SharePoint Server (2013, 2013 SP1) Microsoft Updates (KB2737989, KB2760361, KB2760508, KB2760554, KB2880473, KB2881078, KB2956153, KB2956175, KB2956180, KB2956181, KB2956183, KB2965219, KB3054792, KB3054813, KB3085501, KB3085567, KB3085582, KB3114503)
Описание
Уязвимости существуют в SharePoint Server из-за некорректного экранирования запросов к серверу; это позволяет злоумышленнику, прошедшему аутентификацию, повысить уровень своих привилегий, отправив специально сформированный запрос к уязвимому серверу SharePoint. Эксплуатация данных уязвимостей позволяет злоумышленнику осуществить межсайтовое выполнение сценариев и запустить сценарий в контексте безопасности текущего пользователя.Успешное использование уязвимостей позволяет атакующему просматривать содержимое, на доступ к которому у него нет прав; использовать идентификатор жертвы для выполнения действий на сайте SharePoint от ее имени (например, изменять права доступа и удалять содержимое); а также внедрять вредоносный контент в браузер.
Как исправить
Используйте рекомендации производителя:
http://technet.microsoft.com/security/bulletin/ms15-022
Ссылки
MS (15-022): http://technet.microsoft.com/security/bulletin/ms15-022

Источник: CVE
Наименование: CVE-2015-1636
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1636