中危 Microsoft Exchange 信息泄露漏洞
CVE编号
CVE-2021-33766利用情况
暂无补丁情况
官方补丁披露时间
2021-07-13漏洞描述
Microsoft Exchange Server 是微软公司的一套电子邮件服务组件。2021年8月30日,国外安全研究员公开了CVE-2021-33766 Microsoft Exchange 认证绕过漏洞分析及其POC。攻击者利用该漏洞可绕过相关权限验证,在已知相关管理员邮箱账号的情况下可进行相关敏感的邮箱操作。微软官方已于2021年4月发布针对该漏洞的更新修补程序,阿里云应急响应中心提醒 Microsoft Exchange Server 用户尽快采取安全措施阻止漏洞攻击。解决建议
1、微软官方于 2021年4月已发布相关补丁,2021年7月发布漏洞通告,可前往微软官方下载相应补丁进行更新:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-337662、若暂时无法更新补丁,可利用阿里云安全组功能设置 Exchange Server 仅对可信地址开放。受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | microsoft | exchange_server | 2013 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | microsoft | exchange_server | 2016 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | microsoft | exchange_server | 2019 | - | |||||
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 传输被破坏
- 服务器危害 N/A
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-287 | 认证机制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论