发布日期：2019-05-14
更新日期：2019-05-15

受影响系统：

Microsoft SharePoint Foundation 2013 SP1

描述：

---

BUGTRAQ  ID: 108198
CVE(CAN) ID: CVE-2019-0949

Microsoft SharePoint Server是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。
当Microsoft SharePoint Server未正确清理受影响的SharePoint服务器的特制Web请求时，存在欺骗漏洞。通过向受影响的SharePoint服务器发送特制请求，经过身份验证的攻击者可以利用此漏洞。

成功利用此漏洞的攻击者可能会对受影响的系统执行跨站点脚本攻击，并在当前用户的安全上下文中运行脚本。这些攻击可能允许攻击者读取攻击者无权读取的内容，使用受害者的身份代表用户在SharePoint网站上执行操作，例如更改权限和删除内容，以及在浏览器中注入恶意内容用户。

<*来源：Microsoft
  
  链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0949
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（CVE-2019-0949）以及相应补丁:
CVE-2019-0949：Microsoft SharePoint Spoofing Vulnerability
链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0949

补丁下载：

浏览次数：1440
严重程度：0（网友投票）