Outlook Web Access for Exchange Server邮件字段跨站脚本漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1186341 漏洞类型 跨站脚本
发布时间 2008-07-08 更新时间 2019-05-31
CVE编号 CVE-2008-2247 CNNVD-ID CNNVD-200807-132
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
https://www.securityfocus.com/bid/30130
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200807-132
|漏洞详情
Microsoft Exchange Server是一款流行的邮件服务器,Outlook Web Access是Exchange中用于通过Web浏览器读取和发送邮件的工具。 Outlook Web Access for Exchange Server中存在跨站脚本漏洞,允许在Exchange Server连接的OWA客户端上获得权限提升。如果要利用此漏洞,攻击者必须能够诱骗用户从单个OWA客户端中打开运行恶意脚本的特制电子邮件。如果执行了恶意脚本的话,则将在用户的OWA会话的安全上下文中运行,并能够以登录用户的身份执行用户可执行的任何操作,例如读取、发送和删除电子邮件。
|受影响的产品
Microsoft Exchange Server 2000 SP3
|参考资料

来源:US-CERT
名称:TA08-190A
链接:http://www.us-cert.gov/cas/techalerts/TA08-190A.html
来源:SECUNIA
名称:30964
链接:http://secunia.com/advisories/30964
来源:XF
名称:exchange-owa-email-fields-xss(43328)
链接:http://xforce.iss.net/xforce/xfdb/43328
来源:SECTRACK
名称:1020439
链接:http://www.securitytracker.com/id?1020439
来源:BID
名称:30130
链接:http://www.securityfocus.com/bid/30130
来源:MS
名称:MS08-039
链接:http://www.microsoft.com/technet/security/bulletin/ms08-039.mspx
来源:VUPEN
名称:ADV-2008-2021
链接:http://www.frsirt.com/english/advisories/2008/2021/references
来源:OVAL
名称:oval:org.mitre.oval:def:5354
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:5354
来源:NSFOCUS
名称:12116
链接:http://www.nsfocus.net/vulndb/12116