• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Межсайтовое выполнение сценариев

Главная Специалистам База уязвимостей Межсайтовое выполнение сценариев

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Microsoft SharePoint Server (2016 (x64), 2019 (x64)) Microsoft Updates (KB4486676, KB4486677)
Описание
Уязвимость в сервере SharePoint, связанная с некорректной обработкой (очисткой) запросов, позволяет злоумышленнику осуществить межсайтовое выполнение сценариев и запустить сценарий в контексте безопасности текущего пользователя, используя специально сформированные запросы к серверу. Успешное использование уязвимости позволяет атакующему просматривать содержимое, на доступ к которому у него нет прав; использовать идентификатор пользователя для выполнения действий на сайте SharePoint от его имени (например, изменять права доступа, удалять содержимое, получать доступ к куки-параметрам браузера); а также внедрять вредоносный контент в браузер.
Для эксплуатации уязвимости пользователь должен перейти по специально сформированной URL-ссылке, которая перенаправит его на целевой сайт SharePoint Web App.
Как исправить
Используйте рекомендации производителя:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16944
Ссылки
Источник: CVE
Наименование: CVE-2020-16944
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-16944