Microsoft SharePoint 2010 的安全性更新 (2020 年 8 月)

high Nessus Plugin ID 139500

語系：

概要

遠端主機上安裝的 Microsoft SharePoint 受到多個弱點影響。

說明

遠端主機上的 Microsoft SharePoint Server 安裝缺少安全性更新。因此，此類應用程式受到多個弱點影響：

- 當 Microsoft Excel 軟體無法正確處理記憶體中的物件時，該軟體中存在遠端程式碼執行弱點。成功利用該弱點的攻擊者可在目前使用者的內容中執行任意程式碼。如果目前使用者以管理使用者權限登入，則攻擊者可以控制受影響的系統。攻擊者接下來可以安裝程式、檢視/變更/刪除資料，或是建立具有完整使用者權限的新帳號。(CVE-2020-1495)

- 當 Microsoft SharePoint Server 未正確清理對受影響 SharePoint Server 的特別建構 Web 要求時，存在偽造弱點。經驗證的攻擊者可透過傳送特別建構的要求到受影響的 SharePoint 伺服器來利用該弱點。成功利用該弱點的攻擊者隨後可在受影響的系統上發動跨網站指令碼攻擊，並在目前使用者的安全內容中執行指令碼。
攻擊者可利用這些攻擊讀取未授權攻擊者讀取的內容，使用受害者身分代表使用者在 SharePoint 網站上執行動作 (例如變更權限和刪除內容)，以及在使用者的瀏覽器內插入惡意內容。安全性更新透過協助確保 SharePoint 伺服器正確清理 Web 要求來解決此弱點。(CVE-2020-1499、CVE-2020-1500、CVE-2020-1501)

- Microsoft SharePoint Server 未能正確處理記憶體中的物件時，存在資訊洩漏弱點。成功惡意利用此弱點的攻擊者可以取得資訊以進一步危害使用者系統。(CVE-2020-1505)

- 當 Microsoft Word 不當洩漏其記憶體的內容時，存在資訊洩漏弱點。攻擊者可利用此弱點，使用這些資訊危害使用者電腦或資料。(CVE-2020-1503、CVE-2020-1583)

- 當 Microsoft SharePoint Server 未正確清理對受影響 SharePoint Server 的特別建構 Web 要求時，存在跨網站指令碼 (XSS) 弱點。經驗證的攻擊者可透過傳送特別建構的要求到受影響的 SharePoint 伺服器來利用該弱點。成功利用該弱點的攻擊者隨後可在受影響的系統上發動跨網站指令碼攻擊，並在目前使用者的安全內容中執行指令碼。攻擊者可利用這些攻擊讀取未授權攻擊者讀取的內容，使用受害者身分代表使用者在 SharePoint 網站上執行動作 (例如變更權限和刪除內容)，以及在使用者的瀏覽器內插入惡意內容。安全性更新透過協助確保 SharePoint 伺服器正確清理 Web 要求來解決此弱點。(CVE-2020-1573、CVE-2020-1580)