发布日期：2019-05-14
更新日期：2019-05-15

受影响系统：

Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016

描述：

---

BUGTRAQ  ID: 108215
CVE(CAN) ID: CVE-2019-0957

Microsoft SharePoint Server是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。
当Microsoft SharePoint Server未正确清理受影响的SharePoint服务器的特制Web请求时，存在权限提升漏洞。通过向受影响的SharePoint服务器发送特制请求，经过身份验证的攻击者可以利用此漏洞。

成功利用此漏洞的攻击者可能会对受影响的系统执行跨站脚本攻击，并在当前用户的安全上下文中运行脚本。这些攻击可能允许攻击者读取攻击者无权读取的内容，使用受害者的身份代表用户在SharePoint网站上执行操作，例如更改权限和删除内容，以及在浏览器中注入恶意内容用户。

<*来源：Ashar Javed of Hyundai AutoEver Europe GmbH
  
  链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0957
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（CVE-2019-0957）以及相应补丁:
CVE-2019-0957：Microsoft SharePoint Elevation of Privilege Vulnerability
链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0957

补丁下载：

浏览次数：1060
严重程度：0（网友投票）