CH azonosító
CH-3761Angol cím
Microsoft SharePoint Two Script Insertion VulnerabilitiesFelfedezés dátuma
2010.10.11.Súlyosság
MagasÉrintett rendszerek
Groove ServerMicrosoft
Office SharePoint Server 2007
Office Web Apps
SharePoint Foundation
Windows SharePoint Services
Érintett verziók
Microsoft Groove Server 2010
Microsoft Office SharePoint Server 2007
Microsoft Office Web Apps
Microsoft SharePoint Foundation 2010
Microsoft Windows SharePoint Services 3.x
Összefoglaló
A Microsoft SharePoint olyan sérülékenységei váltak ismertté, amelyeket rosszindulatú felhasználók vagy a támadók kihasználhatnak script beszúrás (script injection) támadások indítására.
Leírás
- Az alkalmazás nem ellenőrzi megfelelően a HTML kódot a SafeHTML használatával. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében kerül lefuttatásra, az érintett oldallal kapcsolatosan, amikor a rosszindulatú adat megtekintésre kerül.
- Az alkalmazás nem ellenőrzi megfelelően a HTML kódot a SafeHTML használatával. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében kerül lefuttatásra, az érintett oldallal kapcsolatosan, amikor a rosszindulatú adat megtekintésre kerül.
Megjegyzés: A sérülékenység csak az olyan weboldalakat érinti, amelyek SafeHTML-t használnak a HTML kód elleőrzésére.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.microsoft.com
SECUNIA 41746
CVE-2010-3243 - NVD CVE-2010-3243
CVE-2010-3324 - NVD CVE-2010-3324