Security Lab

Межсайтовый скриптинг в Microsoft SharePoint

Дата публикации:13.10.2010
Всего просмотров:1783
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:2
CVSSv2 рейтинг: 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
CVE ID: CVE-2010-3243
CVE-2010-3324
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Groove Server 2010
Microsoft SharePoint Foundation 2010
Microsoft Office SharePoint Server 2007
Microsoft Office Web Apps
Microsoft Windows SharePoint Services
Уязвимые версии:
Microsoft Groove Server 2010
Microsoft Office SharePoint Server 2007
Microsoft Office Web Apps
Microsoft SharePoint Foundation 2010
Microsoft Windows SharePoint Services

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной фильтрации HTML кода с помощью SafeHTML. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта во время просмотра специально сформированных данных. Уязвимость не распространяется на Microsoft SharePoint Foundation 2010, Microsoft Groove Server 2010 и Microsoft Office Web Apps.

2. Уязвимость существует из-за недостаточной фильтрации HTML кода с помощью SafeHTML. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта во время просмотра специально сформированных данных.

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Microsoft Windows SharePoint Services 3.0 Service Pack 2 (32-bit versions):
http://www.microsoft.com/downloads/details.aspx?familyid=12fd97a9-6fb8-4b65-a497-a56587f114e1

Microsoft Windows SharePoint Services 3.0 Service Pack 2 (64-bit versions):
http://www.microsoft.com/downloads/details.aspx?familyid=58d1e91d-a037-485d-a6d9-80fbf403b108

Microsoft SharePoint Foundation 2010:
http://www.microsoft.com/downloads/details.aspx?familyid=fc146fcb-c2cb-4860-a0cd-4b09fa3f44eb

Microsoft Office SharePoint Server 2007 Service Pack 2 (32-bit editions):
http://www.microsoft.com/downloads/details.aspx?familyid=aee3f2de-ccf3-4d32-b468-eede4e8afcd4

Microsoft Office SharePoint Server 2007 Service Pack 2 (64-bit editions):
http://www.microsoft.com/downloads/details.aspx?familyid=e5e60751-242a-4fdb-9852-6d94050d3d0e

Microsoft Groove Server 2010:
http://www.microsoft.com/downloads/details.aspx?familyid=e032aef8-dd30-41c6-99bb-8cf0491451cc

Microsoft Office Web Apps:
http://www.microsoft.com/downloads/details.aspx?familyid=8fb56eb9-9601-4c1e-905a-9fe4802b2c8d
Ссылки: MS10-072: Vulnerabilities in SafeHTML Could Allow Information Disclosure (2412048)