Microsoft SharePoint Server 的安全性更新 (2019 年 5 月)

high Nessus Plugin ID 125227

語系：

概要

遠端主機上安裝的 Microsoft SharePoint Server 受到多個弱點影響。

說明

遠端主機上安裝的 Microsoft SharePoint Server 缺少安全性更新。因此，會受到多個弱點影響：- 當 Microsoft SharePoint Server 未正確清理對受影響的 SharePoint 伺服器的特製網路要求時，存在一個資訊洩漏弱點。經驗證的攻擊者可透過傳送特製要求到受影響的 SharePoint 伺服器來加以惡意利用。成功利用此弱點的攻擊者接著可在受影響的系統上執行跨網站指令碼攻擊，並在目前使用者的安全內容中執行指令碼。這些攻擊可允許攻擊者讀取未授權攻擊者讀取的內容、使用受害者身分代表使用者在 SharePoint 網站上執行動作 (例如變更權限和刪除內容)，以及在使用者的瀏覽器內插入惡意內容。安全性更新透過協助確保 SharePoint Server 正確清理網路要求解決此弱點。(CVE-2019-0956) - 當 Microsoft SharePoint Server 未正確清理對受影響的 SharePoint Server 的特製網路要求時，存在一個權限提升弱點。經驗證的攻擊者可透過傳送特製要求到受影響的 SharePoint 伺服器來加以惡意利用。成功利用此弱點的攻擊者接著可在受影響的系統上執行跨網站指令碼攻擊，並在目前使用者的安全內容中執行指令碼。這些攻擊可允許攻擊者讀取未授權攻擊者讀取的內容、使用受害者身分代表使用者在 SharePoint 網站上執行動作 (例如變更權限和刪除內容)，以及在使用者的瀏覽器內插入惡意內容。安全性更新透過協助確保 SharePoint Server 正確清理網路要求解決此弱點。(CVE-2019-0957, CVE-2019-0958) - 當 Microsoft SharePoint Server 未正確識別並篩選不安全的 ASP.Net 網路控制項時，Microsoft SharePoint Server 中存在一個遠端程式碼執行弱點。成功利用該弱點的經驗證攻擊者可使用特製的頁面，在 SharePoint 應用程式集區處理程序的安全性內容中執行動作。(CVE-2019-0952) - 當 Microsoft SharePoint Server 未正確清理對受影響的 SharePoint Server 的特製網路要求時，存在跨網站指令碼 (XSS) 弱點。經驗證的攻擊者可透過傳送特製要求到受影響的 SharePoint 伺服器來加以惡意利用。成功利用此弱點的攻擊者接著可在受影響的系統上執行跨網站指令碼攻擊，並在目前使用者的安全內容中執行指令碼。這些攻擊可允許攻擊者讀取未授權攻擊者讀取的內容，使用受害者身分代表使用者在 SharePoint 網站上執行動作 (例如變更權限和刪除內容)，以及在使用者的瀏覽器內插入惡意內容。安全性更新透過協助確保 SharePoint Server 正確清理網路要求解決此弱點。(CVE-2019-0963) - 當 Microsoft SharePoint Server 未正確清理對受影響的 SharePoint 伺服器的特製網路要求時，存在一個偽造弱點。經驗證的攻擊者可透過傳送特製要求到受影響的 SharePoint 伺服器來加以惡意利用。成功利用此弱點的攻擊者接著可在受影響的系統上執行跨網站指令碼攻擊，並在目前使用者的安全內容中執行指令碼。這些攻擊可允許攻擊者讀取未授權攻擊者讀取的內容、使用受害者身分代表使用者在 SharePoint 網站上執行動作 (例如變更權限和刪除內容)，以及在使用者的瀏覽器內插入惡意內容。安全性更新透過協助確保 SharePoint Server 正確清理網路要求解決此弱點。(CVE-2019-0949、CVE-2019-0950、CVE-2019-0951)