• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Подмена данных

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Microsoft Updates (KB3061064)
Описание
Подмена данных на сервере Lync или Skype for Business, связанная с некорректной обработкой (очисткой) запросов, позволяет злоумышленнику, прошедшему аутентификацию, осуществить межсайтовое выполнение сценариев и запустить сценарий в контексте безопасности текущего пользователя, отправив специально сформированный запрос серверу.
Для эксплуатации уязвимости атакуемый должен перейти по специально сформированной URL-ссылке, которая перенаправит его на целевой сайт Lync или Skype for Business.
Как исправить
Используйте рекомендации производителя:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0798
Ссылки
Источник: CVE
Наименование: CVE-2019-0798
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0798