• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Повышение привилегий в Microsoft Office

Главная Специалистам База уязвимостей Повышение привилегий в Microsoft Office

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Microsoft Office Web Apps (2010 SP2, 2013 SP1) Microsoft Updates (KB3101522, KB3127895, KB3178724, KB3178725, KB3191840, KB3191845)
Описание
Уязвимость в сервере Office Web Apps, связанная с некорректной обработкой (очисткой) запросов, позволяет злоумышленнику повысить уровень своих привилегий, осуществить межсайтовое выполнение сценариев и запустить сценарий в контексте безопасности текущего пользователя, используя специально сформированные запросы. Успешное использование уязвимости позволяет атакующему просматривать содержимое, на доступ к которому у него нет прав; использовать идентификатор жертвы для выполнения действий на сайте SharePoint от ее имени (например, изменять права доступа и удалять содержимое); получать конфиденциальную информацию (например, файлы cookie браузера); а также внедрять вредоносный контент в браузер.
Для эксплуатации уязвимости атакуемый должен перейти по специально сформированной URL-ссылке, которая перенаправит его на целевой сайт Office Web App.
Как исправить
Используйте рекомендации производителя:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0195
Ссылки
Источник: CVE
Наименование: CVE-2017-0195
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0195