跳至主內容

微軟 SharePoint 多個權限提高漏洞

最後更新 2011年09月14日 11:58 發佈日期: 2011年09月14日 2942 觀看次數

風險: 中度風險

類型: 伺服器 - 其他伺服器

類型: 其他伺服器
  1. SharePoint 行事曆中 XSS 漏洞
    微軟 SharePoint 2010 中存在一個跨網站指令碼漏洞,當使用者點選蓄意製作且內含惡意 JavaScript 元素的 URL,可能會造成資訊洩漏或權限提高。由於存在此漏洞,當惡意 JavaScript 回應至使用者的瀏覽器時,所產生的頁面可能會讓攻擊者能以通過驗證使用者的身分在目標 SharePoint 網站上發出 SharePoint 命令。
  2. HTML 清理漏洞
    SafeHTML 功能清理 HTML 的方式中存在資訊洩漏漏洞。一旦攻擊者成功地利用了這項漏洞,就可以執行跨網站指令碼攻擊,並以登入的使用者的資訊安全內容執行指令碼。
  3. Editform 指令碼插入漏洞
    微軟 SharePoint 2010 和 微軟 Foundation 2010 中存在一個跨網站指令碼、資訊洩漏及權限提高漏洞,當使用者造訪蓄意製作的網站,便會遭到利用。攻擊者可利用此漏洞,將惡意 JavaScript 插入張貼到目標 SharePoint 網站的內容。插入的指令碼可讓攻擊者以通過驗證使用者的身分,在目標 SharePoint 網站上發出 SharePoint 命令。
  4. 連絡人詳細資料反映式 XSS 漏洞微軟 SharePoint 中的一項跨網站指令碼漏洞,可讓攻擊者取得有效使用者帳戶的控制權、冒充使用者的身分執行操作、將該使用者重新導向至惡意網站,或竊取使用者認證。
  5. SharePoint 遠端檔案洩漏漏洞
    微軟 Office SharePoint 中存在一個檔案洩漏漏洞,可讓通過驗證的惡意使用者使用蓄意製作的 XML 檔案,以執行 SharePoint 的帳戶之資訊安全權限層級,取得 SharePoint 伺服器上本機檔案的唯讀存取權。
  6. SharePoint XSS 漏洞
    微軟 SharePoint Server 和 Windows SharePoint Services 中存在一個跨網站指令碼、資訊洩漏及權限提高漏洞,在此情況下,編進蓄意製作 URL 中的 JavaScript 可在所產生的頁面中反映回使用者端,使攻擊者能冒充通過驗證使用者的身分,在目標 SharePoint 網站上發出 SharePoint 命令。

影響

  • 權限提升
  • 資料洩露

受影響之系統或技術

  • 微軟 Office Groove 2007
  • 微軟 SharePoint Workspace 2010 
  • 微軟 Office Forms 伺服器 2007
  • 微軟 Office SharePoint 伺服器 2007
  • 微軟 Office SharePoint 伺服器 2010
  • 微軟 Office Groove Data Bridge 伺服器 2007
  • 微軟 Office Groove Management 伺服器 2007
  • 微軟 Groove 伺服器 2010 
  • 微軟 Windows SharePoint Services 2.0
  • 微軟 Windows SharePoint Services 3.0
  • 微軟 SharePoint Foundation 2010
  • 微軟 Office Web Apps 2010

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。


漏洞識別碼


資料來源


相關連結