Security Lab

Межсайтовый скриптинг в продуктах Microsoft

Дата публикации:09.10.2012
Дата изменения:16.10.2012
Всего просмотров:1516
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVSSv2 рейтинг: 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
CVE ID: CVE-2012-2520
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Office InfoPath 2007
Microsoft InfoPath 2010
Microsoft Office Communicator 2007
Microsoft Lync 2010
Microsoft Lync 2010 Attendant
Microsoft Office SharePoint Server 2007
Microsoft Office SharePoint Server 2010
Microsoft Groove Server 2010
Microsoft Windows SharePoint Services 3.x
Microsoft SharePoint Foundation 2010
Microsoft Office Web Apps 2010
Уязвимые версии:
Microsoft InfoPath 2007 Service Pack 2
Microsoft InfoPath 2007 Service Pack 3
Microsoft InfoPath 2010 Service Pack 1
Microsoft Communicator 2007 R2
Microsoft Lync 2010 Microsoft Lync 2010 Attendee
Microsoft SharePoint Server 2007 Service Pack 2
Microsoft SharePoint Server 2007 Service Pack 3
Microsoft SharePoint Server 2010 Service Pack
Microsoft Groove Server 2010 Service Pack 1
Microsoft Windows SharePoint Services 3.0 Service Pack 2
Microsoft SharePoint Foundation 2010 Service Pack 1
Microsoft Office Web Apps 2010 Service Pack 1

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в URL. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Ссылки: MS12-066: Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege (2741517)