微軟 SharePoint 多個權限提高漏洞

最後更新 2011年09月14日 11:58 發佈日期: 2011年09月14日 2915 觀看次數

風險: 中度風險

類型: 伺服器 - 其他伺服器

SharePoint 行事曆中 XSS 漏洞
微軟 SharePoint 2010 中存在一個跨網站指令碼漏洞，當使用者點選蓄意製作且內含惡意 JavaScript 元素的 URL，可能會造成資訊洩漏或權限提高。由於存在此漏洞，當惡意 JavaScript 回應至使用者的瀏覽器時，所產生的頁面可能會讓攻擊者能以通過驗證使用者的身分在目標 SharePoint 網站上發出 SharePoint 命令。
HTML 清理漏洞
SafeHTML 功能清理 HTML 的方式中存在資訊洩漏漏洞。一旦攻擊者成功地利用了這項漏洞，就可以執行跨網站指令碼攻擊，並以登入的使用者的資訊安全內容執行指令碼。
Editform 指令碼插入漏洞
微軟 SharePoint 2010 和微軟 Foundation 2010 中存在一個跨網站指令碼、資訊洩漏及權限提高漏洞，當使用者造訪蓄意製作的網站，便會遭到利用。攻擊者可利用此漏洞，將惡意 JavaScript 插入張貼到目標 SharePoint 網站的內容。插入的指令碼可讓攻擊者以通過驗證使用者的身分，在目標 SharePoint 網站上發出 SharePoint 命令。
連絡人詳細資料反映式 XSS 漏洞微軟 SharePoint 中的一項跨網站指令碼漏洞，可讓攻擊者取得有效使用者帳戶的控制權、冒充使用者的身分執行操作、將該使用者重新導向至惡意網站，或竊取使用者認證。
SharePoint 遠端檔案洩漏漏洞
微軟 Office SharePoint 中存在一個檔案洩漏漏洞，可讓通過驗證的惡意使用者使用蓄意製作的 XML 檔案，以執行 SharePoint 的帳戶之資訊安全權限層級，取得 SharePoint 伺服器上本機檔案的唯讀存取權。
SharePoint XSS 漏洞
微軟 SharePoint Server 和 Windows SharePoint Services 中存在一個跨網站指令碼、資訊洩漏及權限提高漏洞，在此情況下，編進蓄意製作 URL 中的 JavaScript 可在所產生的頁面中反映回使用者端，使攻擊者能冒充通過驗證使用者的身分，在目標 SharePoint 網站上發出 SharePoint 命令。