MS14-075:Microsoft Exchange Server 中的漏洞可允许权限提升 (3009712)
medium Nessus 插件 ID 79827
语言:
简介
远程邮件服务器受到多种漏洞的影响。描述
远程主机上安装的 Microsoft Exchange 版本受到多种漏洞的影响:- 存在一个标记欺骗漏洞,原因是 Microsoft Outlook Web App (OWA) 未正确验证请求标记。远程攻击者可通过诱使用户访问具有特别构建的内容的网站来利用此漏洞,从而允许攻击者发送似乎来自用户而非攻击者的电子邮件。(CVE-2014-6319)
- 存在多种跨站脚本漏洞,原因是 Microsoft Exchange 未正确验证输入。远程攻击者可通过诱使用户点击特别构建的指向目标 Outlook Web App 站点的 URL 来利用这些漏洞。(CVE-2014-6325、CVE-2014-6326)。
- 存在一个欺骗漏洞,原因是 Microsoft Outlook Web App (OWA) 未正确验证重定向标记。攻击者可利用此漏洞将用户重定向到似乎源自用户域的链接所指向的任意域。攻击者还可利用此漏洞来发送似乎来自用户而非攻击者的电子邮件。(CVE-2014-6336)。
解决方案
Microsoft 已发布一系列用于 Exchange 2007 SP3、2010 SP3 和 2013 SP1 / CU6 的修补程序。另见
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2014/ms14-075
插件详情
严重性: Medium
ID: 79827
文件名: smb_nt_ms14-075.nasl
版本: 1.10
类型: local
代理: windows
发布时间: 2014/12/9
最近更新时间: 2019/11/25
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.0
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2014-6319
漏洞信息
CPE: cpe:/a:microsoft:exchange_server
必需的 KB 项: SMB/MS_Bulletin_Checks/Possible
易利用性: No known exploits are available
补丁发布日期: 2014/12/9
漏洞发布日期: 2014/12/9
参考资料信息
CVE: CVE-2014-6319, CVE-2014-6325, CVE-2014-6326, CVE-2014-6336