Microsoft SharePoint script beszúrás sérülékenységek


2010. október 13. 10:18

CH azonosító

CH-3761

Angol cím

Microsoft SharePoint Two Script Insertion Vulnerabilities

Felfedezés dátuma

2010.10.11.

Súlyosság

Magas

Érintett rendszerek

Groove Server
Microsoft
Office SharePoint Server 2007
Office Web Apps
SharePoint Foundation
Windows SharePoint Services

Érintett verziók

Microsoft Groove Server 2010
Microsoft Office SharePoint Server 2007
Microsoft Office Web Apps
Microsoft SharePoint Foundation 2010
Microsoft Windows SharePoint Services 3.x

Összefoglaló

A Microsoft SharePoint olyan sérülékenységei váltak ismertté, amelyeket rosszindulatú felhasználók vagy a támadók kihasználhatnak script beszúrás (script injection) támadások indítására.

Leírás

  1. Az alkalmazás nem ellenőrzi megfelelően a HTML kódot a SafeHTML használatával. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében kerül lefuttatásra, az érintett oldallal kapcsolatosan, amikor a rosszindulatú adat megtekintésre kerül.
  2. Az alkalmazás nem ellenőrzi megfelelően a HTML kódot a SafeHTML használatával. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében kerül lefuttatásra, az érintett oldallal kapcsolatosan, amikor a rosszindulatú adat megtekintésre kerül.

Megjegyzés: A sérülékenység csak az olyan weboldalakat érinti, amelyek SafeHTML-t használnak a HTML kód elleőrzésére.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.microsoft.com
SECUNIA 41746
CVE-2010-3243 - NVD CVE-2010-3243
CVE-2010-3324 - NVD CVE-2010-3324

Legfrissebb sérülékenységek
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
CVE-2008-0015 – Microsoft Windows Video ActiveX Control Remote Code Execution sérülékenység
CVE-2024-7694 – TeamT5 ThreatSonar Anti-Ransomware Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2020-7796 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery sérülékenység
CVE-2026-1731 – BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA) OS Command Injection sérülékenység
CVE-2026-2441 – Google Chromium CSS Use-After-Free sérülékenysége
CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass sérülékenység
CVE-2025-15556 – Notepad++ Download of Code Without Integrity Check sérülékenység
CVE-2024-43468 – Microsoft Configuration Manager SQL Injection sérülékenység
Tovább a sérülékenységekhez »