Microsoft Outlook Web Access (OWA) owalogon.asp 重新導向帳戶列舉
medium Nessus Plugin ID 17636
語系:
概要
遠端 Web 伺服器受到 URL 注入攻擊弱點影響。說明
遠端主機正在執行 Microsoft Outlook Web Access (OWA) 2003。由於未清理使用者輸入,此軟體的遠端版本容易受到 URL 注入攻擊弱點影響,攻擊者可利用此弱點,在 OWA 驗證後將使用者重新導向至其他未經授權的 Web 伺服器。此未經授權的網站可偽裝成 Web 應用程式的一部分,用來擷取敏感資訊。
解決方案
升級至 Microsoft Exchange Server 2007,據報此版本已解決此問題。或者,編輯 OWA 使用的「logon.asp」指令碼,並硬編碼第 54 行中「redirectPath」的值。
另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 17636
檔案名稱: owa_sqlinject.nasl
版本: 1.25
類型: remote
系列: CGI abuses
已發布: 2005/3/28
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.5
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.4
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
弱點資訊
可輕鬆利用: No exploit is required
弱點發布日期: 2005/2/8
參考資訊
CVE: CVE-2005-0420
BID: 12459