Microsoft SharePoint Server 2010 のセキュリティ更新プログラム (2020 年 10 月)

high Nessus プラグイン ID 141435

Language:

概要

リモートホストにインストールされているMicrosoft SharePoint Server 2010は、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているMicrosoft SharePoint Serverにセキュリティ更新プログラムがありません。したがって、以下の複数の脆弱性による影響を受けます。

- 影響を受ける SharePoint Server に対する巧妙に作りこまれた Web リクエストを Microsoft SharePoint Server が適切にサニタイズしないとき、クロスサイトスクリプティング (XSS) の脆弱性があります。認証された攻撃者がこの脆弱性を悪用して、影響を受けるSharePoint Serverに巧妙に作りこまれたリクエストを送信する可能性があります。この脆弱性の悪用に成功した攻撃者が、影響を受けるシステムにクロスサイトスクリプティング攻撃を仕掛け、現行のユーザーのセキュリティコンテキストでスクリプトを実行する可能性があります。攻撃者は読み取り許可が与えられていないコンテンツを読んだり、被害者の身分情報を利用し、被害者になりすましてSharePointサイトでアクションを実行したり (権限の変更やコンテンツの削除など ) 、ユーザーのブラウザに悪意のあるコンテンツを挿入したりする可能性があります。セキュリティ更新プログラムは、SharePoint ServerがWebリクエストを適切にサニタイズするよう徹底することにより、この脆弱性に対処しています。 (CVE-2020-16946 )

- Microsoft SharePoint Serverがメモリでオブジェクトを適切に処理しないとき、情報漏洩の脆弱性があります。この脆弱性の悪用に成功した攻撃者は、情報を取得してユーザーシステムをさらに侵害する可能性があります。 (CVE-2020-16948、CVE-2020-16953 )

- Microsoft SharePoint Serverが特定のWebページを表示するときに、フォルダストラクチャを不適切に開示する情報漏えいの脆弱性があります。攻撃者がこの情報漏えいを悪用し、読み込まれたスクリプトのフォルダパスをページに表示する可能性があります。この脆弱性を利用するには、攻撃者は影響を受ける特定のSharePointページにアクセスする必要があります。このセキュリティ更新プログラムでは、特定のSharePointページにおいてスクリプトの記載方法を修正することにより、この脆弱性に対応しています。
(CVE-2020-16941, CVE-2020-16942)

- Microsoft Excelソフトウェアがメモリ内のオブジェクトを不適切に処理する場合に、リモートコード実行の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、現行ユーザーのコンテキストで任意のコードを実行する可能性があります。現行ユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるシステムを乗っ取る可能性があります。その後、攻撃者は、完全なユーザー権限で、プログラムのインストール、データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。 (CVE-2020-16929 )