Security Lab

Межсайтовый скриптинг в Microsoft Windows SharePoint Services и Office SharePoint Server

Дата публикации:10.10.2007
Всего просмотров:2607
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2007-2581
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Windows SharePoint Services
Microsoft Office SharePoint Server 2007
Уязвимые версии:
Microsoft Office SharePoint Server 2007
Microsoft Windows SharePoint Services

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в URL. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[host]/sharepoint/default.aspx/%22);}if(true){alert(%22qwertytis

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Microsoft Windows SharePoint Services 3.0 for Windows Server 2003 SP1/SP2:
http://www.microsoft.com/downloads/de...=76FC2225-2802-46E5-A294-A842E3841877

Microsoft Windows SharePoint Services 3.0 for Windows Server 2003 x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/de...=667335DD-DF2E-4F14-A130-5758701BE055

Microsoft Office SharePoint Server 2007:
http://www.microsoft.com/downloads/de...=AAEA9695-F541-4C4C-9107-81EAD5CFC8C9

Microsoft Office SharePoint Server 2007 x64 Edition:
http://www.microsoft.com/downloads/de...=1D319164-D133-4493-BE27-1AEDA62362C4

Ссылки: (MS07-059) Vulnerability in Windows SharePoint Services 3.0 and Office SharePoint Server 2007 Could Result in Elevation of Privilege Within the SharePoint Site (942017)