Podatność CVE-2011-1892
Publikacja: 2011-09-15   Modyfikacja: 2012-02-13

Opis:
Microsoft Office Groove 2007 SP2, SharePoint Workspace 2010 Gold and SP1, Office Forms Server 2007 SP2, Office SharePoint Server 2007 SP2, Office SharePoint Server 2010 Gold and SP1, Office Groove Data Bridge Server 2007 SP2, Office Groove Management Server 2007 SP2, Groove Server 2010 Gold and SP1, Windows SharePoint Services 3.0 SP2, SharePoint Foundation 2010, and Office Web Apps 2010 Gold and SP1 do not properly handle Web Parts containing XML classes referencing external entities, which allows remote authenticated users to read arbitrary files via a crafted XML and XSL file, aka "SharePoint Remote File Disclosure Vulnerability."

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Low
File disclosure via XEE in SharePoint 2007/2010 and DotNetNuke < 6
Nicolas Gregoire
20.09.2011

Typ:

CWE-200

 (Information Exposure)

CVSS2 => (AV:N/AC:L/Au:S/C:P/I:N/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4/10
2.9/10
8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Brak
Brak
Affected software
Microsoft -> Forms server 
Microsoft -> Groove 
Microsoft -> Groove data bridge server 
Microsoft -> Groove management server 
Microsoft -> Groove server 
Microsoft -> Office web apps 
Microsoft -> Sharepoint foundation 
Microsoft -> Sharepoint server 
Microsoft -> Sharepoint services 
Microsoft -> Sharepoint workspace 

 Referencje:
http://securityreason.com/securityalert/8386
http://www.us-cert.gov/cas/techalerts/TA11-256A.html
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2011/ms11-074
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A12907
Copyright 2024, cxsecurity.com

 

Back to Top