微軟 SharePoint 多個權限提高漏洞
最後更新
2011年09月14日 11:58
發佈日期:
2011年09月14日
2942
觀看次數
風險: 中度風險
類型: 伺服器 - 其他伺服器
- SharePoint 行事曆中 XSS 漏洞
微軟 SharePoint 2010 中存在一個跨網站指令碼漏洞,當使用者點選蓄意製作且內含惡意 JavaScript 元素的 URL,可能會造成資訊洩漏或權限提高。由於存在此漏洞,當惡意 JavaScript 回應至使用者的瀏覽器時,所產生的頁面可能會讓攻擊者能以通過驗證使用者的身分在目標 SharePoint 網站上發出 SharePoint 命令。 - HTML 清理漏洞
SafeHTML 功能清理 HTML 的方式中存在資訊洩漏漏洞。一旦攻擊者成功地利用了這項漏洞,就可以執行跨網站指令碼攻擊,並以登入的使用者的資訊安全內容執行指令碼。 - Editform 指令碼插入漏洞
微軟 SharePoint 2010 和 微軟 Foundation 2010 中存在一個跨網站指令碼、資訊洩漏及權限提高漏洞,當使用者造訪蓄意製作的網站,便會遭到利用。攻擊者可利用此漏洞,將惡意 JavaScript 插入張貼到目標 SharePoint 網站的內容。插入的指令碼可讓攻擊者以通過驗證使用者的身分,在目標 SharePoint 網站上發出 SharePoint 命令。 - 連絡人詳細資料反映式 XSS 漏洞微軟 SharePoint 中的一項跨網站指令碼漏洞,可讓攻擊者取得有效使用者帳戶的控制權、冒充使用者的身分執行操作、將該使用者重新導向至惡意網站,或竊取使用者認證。
- SharePoint 遠端檔案洩漏漏洞
微軟 Office SharePoint 中存在一個檔案洩漏漏洞,可讓通過驗證的惡意使用者使用蓄意製作的 XML 檔案,以執行 SharePoint 的帳戶之資訊安全權限層級,取得 SharePoint 伺服器上本機檔案的唯讀存取權。 - SharePoint XSS 漏洞
微軟 SharePoint Server 和 Windows SharePoint Services 中存在一個跨網站指令碼、資訊洩漏及權限提高漏洞,在此情況下,編進蓄意製作 URL 中的 JavaScript 可在所產生的頁面中反映回使用者端,使攻擊者能冒充通過驗證使用者的身分,在目標 SharePoint 網站上發出 SharePoint 命令。
影響
- 權限提升
- 資料洩露
受影響之系統或技術
- 微軟 Office Groove 2007
- 微軟 SharePoint Workspace 2010
- 微軟 Office Forms 伺服器 2007
- 微軟 Office SharePoint 伺服器 2007
- 微軟 Office SharePoint 伺服器 2010
- 微軟 Office Groove Data Bridge 伺服器 2007
- 微軟 Office Groove Management 伺服器 2007
- 微軟 Groove 伺服器 2010
- 微軟 Windows SharePoint Services 2.0
- 微軟 Windows SharePoint Services 3.0
- 微軟 SharePoint Foundation 2010
- 微軟 Office Web Apps 2010
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
漏洞識別碼
資料來源
相關連結
分享至