MS12-050:SharePoint 中的弱點可能允許權限提升 (2695502)
medium Nessus Plugin ID 59913
語系:
概要
遠端主機受到多個權限提升和資訊洩漏弱點的影響。說明
遠端主機上安裝的 InfoPath、Office SharePoint Server、SharePoint Server、Groove Server、Windows SharePoint Services、SharePoint Foundation 或 Office Web Apps 版本受到多個權限提升和資訊洩漏弱點影響:- HTML 字串清理方式中存在一個資訊洩漏弱點。成功惡意利用此弱點的攻擊者可在登入使用者的安全性內容中,執行跨網站指令碼攻擊並執行指令碼。(CVE-2012-1858)
- 一個跨網站指令碼和權限提升弱點,允許在使用者點擊連結的內容中執行受攻擊者控制的 JavaScript。匿名攻擊者也可在網站上經驗證使用者的內容中發出 SharePoint 命令。(CVE-2012-1859)
- 在 SharePoint 儲存搜尋範圍的方式中存在一個資訊洩漏弱點。攻擊者可檢視或竄改其他使用者的搜尋範圍。
(CVE-2012-1860)
- 存在一個跨網站指令碼弱點,可允許受攻擊者控制的 JavaScript 在使用者按一下連結的內容中執行。匿名攻擊者也可在已驗證使用者的內容中發出 SharePoint 命令。(CVE-2012-1861)
- SharePoint 中存在一個 URL 重新導向弱點。
該弱點可導致偽造和資訊洩漏,並可允許攻擊者將使用者重新導向至外部 URL。(CVE-2012-1862)
- 存在一個跨網站指令碼弱點,可允許受攻擊者控制的 JavaScript 在使用者按一下連結的內容中執行。匿名攻擊者也可在已驗證使用者的內容中發出 SharePoint 命令。(CVE-2012-1863)。
解決方案
Microsoft 已發佈一組適用於 InfoPath 2007、InfoPath 2010、Office SharePoint Server 2007、SharePoint Server 2010、Groove Server 2010、Windows SharePoint Services 2.0 和 3.0、SharePoint Foundation 2010 和 Office Web Apps 2010 的修補程式。另請參閱
http://www.nessus.org/u?c7d49512
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2012/ms12-050
Plugin 詳細資訊
嚴重性: Medium
ID: 59913
檔案名稱: smb_nt_ms12-050.nasl
版本: 1.26
類型: local
代理程式: windows
已發布: 2012/7/11
已更新: 2019/12/4
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 7.2
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5.9
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2012-1862
弱點資訊
CPE: cpe:/a:microsoft:groove, cpe:/a:microsoft:infopath, cpe:/a:microsoft:office_web_apps, cpe:/a:microsoft:sharepoint_server, cpe:/a:microsoft:sharepoint_services, cpe:/a:microsoft:sharepoint_foundation
必要的 KB 項目: SMB/MS_Bulletin_Checks/Possible
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2012/7/10
弱點發布日期: 2012/6/12
參考資訊
CVE: CVE-2012-1858, CVE-2012-1859, CVE-2012-1860, CVE-2012-1861, CVE-2012-1862, CVE-2012-1863