Microsoft Office 特权提升漏洞
CVE编号
CVE-2018-8247利用情况
暂无补丁情况
N/A披露时间
2018-06-12漏洞描述
Microsoft Office Online Server 2016和Office Web Apps Server 2013 SP1都是美国微软(Microsoft)公司的产品。Microsoft Office Online Server 2016是一套基于Web的办公软件套件。Office Web Apps Server 2013 SP1是一款为Office文件提供基于浏览器的文件查看和编辑功能的Office Server产品。 Microsoft Office Online Server 2016和Microsoft Office Web Apps Server 2013 SP1中存在权限提升漏洞,该漏洞源于程序未能正确处理web请求。远程攻击者可借助恶意的链接利用该漏洞实施脚本或内容注入攻击并欺骗用户泄露敏感信息。解决建议
厂商已发布漏洞修复程序,请及时关注更新:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8247受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | microsoft | office_online_server | 2016 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | microsoft | office_web_apps | 2013 | - | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论