Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Microsoft Exchange
(Exchange Server 2013 CU23, Exchange Server 2016 CU12, Exchange Server 2016 CU13, Exchange Server 2019 CU1, Exchange Server 2019 CU2)
Описание
Уязвимость в Microsoft Exchange Server, связанная с некорректной обработкой (очисткой) веб-запросов, позволяет злоумышленнику осуществить межсайтовое выполнение сценариев и запустить сценарий в контексте безопасности текущего пользователя, используя специально сформированные запросы к серверу. Успешное использование уязвимости позволяет атакующему просматривать содержимое, на доступ к которому у него нет прав; использовать идентификатор пользователя для выполнения действий на сервере Exchange от его имени (например, изменять права доступа и удалять содержимое); а также внедрять вредоносный контент в браузер.
Как исправить
Используйте рекомендации производителя:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1137
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1137
Ссылки
Источник: CVE
Наименование: CVE-2019-1137
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1137
Наименование: CVE-2019-1137
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1137