Lädt...

🕵️ Microsoft Exchange Server 2016 Outlook Web Access Cross Site Scripting


Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: scip.ch

Allgemein

scipID: 80228
Betroffen: Microsoft Exchange Server 2016
Veröffentlicht: 12.01.2016
Risiko: problematisch

Erstellt: 14.01.2016
Eintrag: 72.8% komplett

Beschreibung

Eine problematische Schwachstelle wurde in Microsoft Exchange Server 2016 entdeckt. Betroffen davon ist eine unbekannte Funktion der Komponente Outlook Web Access. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Integrität.

Die Schwachstelle wurde am 12.01.2016 als MS16-010 in Form eines bestätigten Bulletins (Technet) veröffentlicht. Auf technet.microsoft.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2016-0031 statt. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk passieren. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Die Schwachstelle lässt sich durch das Einspielen des Patches MS16-010 beheben. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat hiermit sofort reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1034647) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 80226, 80227 und 80229.

CVSS

Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $10k-$25k (0-day) / $2k-$5k (Heute)

Gegenmassnahmen

Empfehlung: Patch
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Patch: MS16-010

Timeline

12.01.2016 | Advisory veröffentlicht
12.01.2016 | Gegenmassnahme veröffentlicht
12.01.2016 | SecurityTracker Eintrag erstellt
14.01.2016 | VulDB Eintrag erstellt
14.01.2016 | VulDB Eintrag aktualisiert

Quellen

Advisory: MS16-010
Status: Bestätigt

CVE: CVE-2016-0031 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1034647 – Microsoft Exchange Server OWA Validation Flaws Lets Remote Users Spoof Content

Siehe auch: 80226, 80227 , 80229

...

🕵️ Microsoft Exchange Server 2016 CU8/2016 CU9 Outlook Web Access Web Request cross site scripting


📈 49.84 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2016 CU8/2016 CU9 Outlook Web Access cross site scripting


📈 46.05 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2016 Outlook Web Access Cross Site Scripting


📈 42.21 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2013 SP1/2013 CU 10/2016 Outlook Web Access Cross Site Scripting


📈 42.21 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2016 Outlook Web Access Cross Site Scripting


📈 42.21 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2016 Outlook Web Access Cross Site Scripting


📈 42.21 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2013 SP1/2013 CU 10/2016 Outlook Web Access Cross Site Scripting


📈 42.21 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2016 Outlook Web Access Cross Site Scripting


📈 42.21 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2016 Outlook Web Access cross site scripting


📈 42.21 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2013 CU21/2016 CU10 Outlook Web Access cross site scripting


📈 42.21 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2000 Outlook Web Access cross site scripting


📈 38.36 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server up to 2019 CU1 Outlook Web Access cross site scripting


📈 38.36 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2016 CU6/2016 CU7 Outlook Web Access erweiterte Rechte


📈 37.24 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2016 CU7/2016 CU8 Outlook Web Access Information Disclosure


📈 37.24 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2016 CU7/2016 CU8 Outlook Web Access Information Disclosure


📈 37.24 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2016 CU6/2016 CU7 Outlook Web Access privilege escalation


📈 37.24 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Server 2016 CU7/2016 CU8 Outlook Web Access information disclosure


📈 37.24 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange 5.5 Outlook Web Access cross site scripting


📈 35.04 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange 5.5 Outlook Web Access HTML Redirection cross site scripting


📈 35.04 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange Srv 2007 Sp1 Outlook Web Access cross site scripting


📈 35.04 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange 2003/2007 Outlook Web Access cross site scripting


📈 35.04 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange 5.5 Outlook Web Access cross site scriting


📈 31.87 Punkte
🕵️ Sicherheitslücken

🕵️ Microsoft Exchange 2000 Outlook Web Access cross site scriting


📈 31.87 Punkte
🕵️ Sicherheitslücken

matomo