Security Lab

Межсайтовый скриптинг в Microsoft Outlook Web Access

Дата публикации:14.07.2003
Всего просмотров:1038
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие важных данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Exchange Server 2000
Microsoft Exchange 2000 Enterprise Server
Microsoft Exchange 5.5
Описание: Несколько уязвимостей обнаружено в Microsoft Outlook Web Access (OWA). Удаленный пользователь может обойти настройки фильтрования, чтобы выполнить произвольный код сценария и получить OWA пароль целевого пользователя.

Удаленный пользователь может послать специально сформированное HTML email сообщение к целевому пользователю, чтобы получить доменное имя целевого пользователя и его пароль.

Poc эксплоит прилагается.

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Эксплоит
XSS in OWA allows stealing windows domain user credentials