Microsoft SharePoint Server 的安全性更新 (2019 年 10 月)

high Nessus Plugin ID 129731

語系：

概要

遠端主機上的 Microsoft SharePoint Server 安裝受到多個弱點影響。

說明

遠端主機上的 Microsoft SharePoint Server 安裝缺少安全性更新。因此，該主機受到多個弱點影響：

- 當 Microsoft SharePoint Server 未正確清理對受影響 SharePoint Server 的特別建構 Web 要求時，存在跨網站指令碼 (XSS) 弱點。經驗證的攻擊者可透過傳送特別建構的要求到受影響的 SharePoint 伺服器來利用該弱點。成功利用該弱點的攻擊者隨後可在受影響的系統上發動跨網站指令碼攻擊，並在目前使用者的安全內容中執行指令碼。攻擊者可利用這些攻擊讀取未授權攻擊者讀取的內容，使用受害者身分代表使用者在 SharePoint 網站上執行動作 (例如變更權限和刪除內容)，以及在使用者的瀏覽器內插入惡意內容。安全性更新透過協助確保 SharePoint 伺服器正確清理 Web 要求來修復此弱點。(CVE-2019-1070)
- 當 Microsoft SharePoint Server 未正確清理對受影響 SharePoint Server 的特別建構 Web 要求時，存在偽造弱點。經驗證的攻擊者可透過傳送特別建構的要求到受影響的 SharePoint 伺服器來利用該弱點。成功利用該弱點的攻擊者隨後可在受影響的系統上發動跨網站指令碼攻擊，並在目前使用者的安全內容中執行指令碼。
攻擊者可利用這些攻擊讀取未授權攻擊者讀取的內容，使用受害者身分代表使用者在 SharePoint 網站上執行動作 (例如變更權限和刪除內容)，以及在使用者的瀏覽器內插入惡意內容。安全性更新透過協助確保 SharePoint 伺服器正確清理 Web 要求來修復此弱點。(CVE-2019-1328)

- 當 Microsoft SharePoint Server 未正確清理對受影響的 SharePoint Server 的特製網路要求時，存在一個權限提升弱點。經驗證的攻擊者可透過傳送特別建構的要求到受影響的 SharePoint 伺服器來利用該弱點。成功利用該弱點的攻擊者隨後可在受影響的系統上發動跨網站指令碼攻擊，並在目前使用者的安全內容中執行指令碼。攻擊者可利用這些攻擊讀取未授權攻擊者讀取的內容，使用受害者身分代表使用者在 SharePoint 網站上執行動作 (例如變更權限和刪除內容)，以及在使用者的瀏覽器內插入惡意內容。安全性更新透過協助確保 SharePoint 伺服器正確清理 Web 要求來修復此弱點。(CVE-2019-1329)

- Microsoft SharePoint 中存在權限提升弱點。成功惡意利用此弱點的攻擊者可嘗試假冒 SharePoint server 的其他使用者。
(CVE-2019-1330)

- 當 Microsoft Excel 軟體無法正確處理記憶體中的物件時，該軟體中存在遠端程式碼執行弱點。成功利用該弱點的攻擊者可在目前使用者的內容中執行任意程式碼。如果目前使用者以管理使用者權限登入，則攻擊者可以控制受影響的系統。攻擊者接下來可以安裝程式、檢視/變更/刪除資料，或是建立具有完整使用者權限的新帳號。(CVE-2019-1331)