漏洞信息详情
Outlook Web Access for Exchange Server邮件字段跨站脚本漏洞(MS08-039)
- CNNVD编号:CNNVD-200807-133
- 危害等级: 中危
- CVE编号: CVE-2008-2248
- 漏洞类型: 跨站脚本
- 发布时间: 2008-07-08
- 威胁类型: 远程
- 更新时间: 2019-06-03
- 厂 商: microsoft
- 漏洞来源: Michael Jordan,Mic...
漏洞简介
Microsoft Exchange Server是一款流行的邮件服务器,Outlook Web Access是Exchange中用于通过Web浏览器读取和发送邮件的工具。
Outlook Web Access for Exchange Server中存在跨站脚本漏洞,允许在Exchange Server连接的OWA客户端上获得权限提升。如果要利用此漏洞,攻击者必须能够诱骗用户从单个OWA客户端中打开运行恶意脚本的特制电子邮件。如果执行了恶意脚本的话,则将在用户的OWA会话的安全上下文中运行,并能够以登录用户的身份执行用户可执行的任何操作,例如读取、发送和删除电子邮件。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.microsoft.com/technet/security/bulletin/ms08-039.mspx?pf=true
参考网址
来源:www.microsoft.com
链接:http://www.microsoft.com/technet/security/bulletin/MS08-039.mspx
来源:seclists.org
链接:http://seclists.org/fulldisclosure/2008/Jul/0135.HTML
来源:support.avaya.com
链接:http://support.avaya.com/elmodocs2/security/ASA-2008-290.htm
来源:blogs.technet.com
链接:http://blogs.technet.com/swi/archive/2008/07/08/MS08-039-which-users-are-vulnerable-to-OWA-XSS-vulnerability.aspx/archive/1/494131
来源:products.office.com
链接:https://products.office.com/en-US/exchange/
来源:BID
链接:http://www.securityfocus.com/bid/30078
来源:VUPEN
链接:http://www.vupen.com/english/advisories/2008/2021/references
来源:MS
链接:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-039
来源:SECUNIA
链接:http://secunia.com/advisories/30964
来源:CERT
链接:http://www.us-cert.gov/cas/techalerts/TA08-190A.HTML
来源:SECTRACK
链接:http://www.securitytracker.com/id?1020439
来源:XF
链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/43329
来源:OVAL
链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A5695
来源:www.securityfocus.com
链接:https://www.securityfocus.com/bid/30078
受影响实体
- Microsoft Exchange_server:2007:Sp1
- Microsoft Outlook_web_access
- Microsoft Exchange_server:2007
- Microsoft Exchange_server:2003:Sp2
补丁
暂无
评论