MS15-026:Microsoft Exchange Server 中的弱點可能允許權限提升 (3040856)

medium Nessus Plugin ID 81740

概要

遠端 Microsoft Exchange 伺服器受到多個弱點影響。

說明

遠端 Microsoft Exchange 伺服器缺少一個安全性更新。因此,會受到多個弱點影響:

- 存在多個跨網站指令碼弱點,這些弱點是因不當清理 Outlook Web App 中的頁面內容所致。攻擊者可藉著修改 Outlook Web App 中的內容,惡意利用這些弱點,然後說服使用者瀏覽至目標 Outlook Web App 網站,導致在目前使用者的內容中執行任意指令碼。(CVE-2015-1628、CVE-2015-1629、CVE-2015-1630、CVE-2015-1632)

- 存在一個偽造弱點,此弱點是因在接受或修改會議要求時,無法正確驗證會議召集人的身分所致。遠端攻擊者可惡意利用此問題,傳送看似來自合法召集人的偽造會議要求。(CVE-2015-1631)

解決方案

Microsoft 已針對 Exchange 2013 發佈一組修補程式。

另請參閱

https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2015/ms15-026

Plugin 詳細資訊

嚴重性: Medium

ID: 81740

檔案名稱: smb_nt_ms15-026.nasl

版本: 1.9

類型: local

代理程式: windows

已發布: 2015/3/10

已更新: 2019/11/22

支援的感應器: Nessus

風險資訊

VPR

風險因素: Low

分數: 3.4

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2015-1631

弱點資訊

CPE: cpe:/a:microsoft:exchange_server

必要的 KB 項目: SMB/MS_Bulletin_Checks/Possible

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/3/10

弱點發布日期: 2015/3/10

參考資訊

CVE: CVE-2015-1628, CVE-2015-1629, CVE-2015-1630, CVE-2015-1631, CVE-2015-1632

BID: 72883, 72887, 72888, 72890, 72895

MSFT: MS15-026

MSKB: 3040856