Microsoft SharePoint script beszúrás sérülékenységek

CH azonosító

CH-3761

Angol cím

Microsoft SharePoint Two Script Insertion Vulnerabilities

Felfedezés dátuma

2010.10.11.

Súlyosság

Magas

Érintett rendszerek

Groove Server
Microsoft
Office SharePoint Server 2007
Office Web Apps
SharePoint Foundation
Windows SharePoint Services

Érintett verziók

Microsoft Groove Server 2010
Microsoft Office SharePoint Server 2007
Microsoft Office Web Apps
Microsoft SharePoint Foundation 2010
Microsoft Windows SharePoint Services 3.x

Összefoglaló

A Microsoft SharePoint olyan sérülékenységei váltak ismertté, amelyeket rosszindulatú felhasználók vagy a támadók kihasználhatnak script beszúrás (script injection) támadások indítására.

Leírás

  1. Az alkalmazás nem ellenőrzi megfelelően a HTML kódot a SafeHTML használatával. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében kerül lefuttatásra, az érintett oldallal kapcsolatosan, amikor a rosszindulatú adat megtekintésre kerül.
  2. Az alkalmazás nem ellenőrzi megfelelően a HTML kódot a SafeHTML használatával. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében kerül lefuttatásra, az érintett oldallal kapcsolatosan, amikor a rosszindulatú adat megtekintésre kerül.

Megjegyzés: A sérülékenység csak az olyan weboldalakat érinti, amelyek SafeHTML-t használnak a HTML kód elleőrzésére.

Megoldás

Telepítse a javítócsomagokat