Microsoft Exchange 2000/5.5 Outlook Web Access Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Zusammenfassung
In Microsoft Exchange 2000/5.5 wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist unbekannter Code der Komponente Outlook Web Access. Die Bearbeitung verursacht Cross Site Scripting. Die Verwundbarkeit wird als CVE-2001-0340 geführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es ist kein Exploit verfügbar. Diese Schwachstelle gilt aufgrund ihrer speziellen Ausprägung als historisch interessant. Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.
Details
In Microsoft Exchange 2000/5.5 (Groupware Software) wurde eine kritische Schwachstelle gefunden. Es geht um eine unbekannte Funktion der Komponente Outlook Web Access. Dank der Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-80. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
An interaction between the Outlook Web Access (OWA) service in Microsoft Exchange 2000 Server and Internet Explorer allows attackers to execute malicious script code against a user s mailbox via a message attachment that contains HTML code, which is executed automatically.Die Schwachstelle wurde am 21.07.2001 durch Joao Gouveia von Microsoft als MS01-030 in Form eines bestätigten Bulletins (Technet) an die Öffentlichkeit getragen. Auf microsoft.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2001-0340 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $0-$5k zu rechnen (Preisberechnung vom 07.10.2025). MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle. Historisch interessant ist diese Schwachstelle unter anderem wegen ihrer speziellen Ausprägung.
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 74150 (Microsoft Exchange OWA Arbitrary Script Execution Vulnerability (MS01-030)) zur Prüfung der Schwachstelle an.
Die Schwachstelle lässt sich durch das Einspielen des Patches MS01-030 beheben. Dieser kann von microsoft.com bezogen werden.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (6652), SecurityFocus (BID 2832†) und Vulnerability Center (SBV-819†) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: MS01-030
Timeline
06.06.2001 🔍21.07.2001 🔍
21.07.2001 🔍
21.07.2001 🔍
05.02.2003 🔍
07.07.2014 🔍
07.10.2025 🔍
Quellen
Hersteller: microsoft.comAdvisory: MS01-030
Person: Joao Gouveia
Firma: Microsoft
Status: Bestätigt
CVE: CVE-2001-0340 (🔍)
GCVE (CVE): GCVE-0-2001-0340
GCVE (VulDB): GCVE-100-17050
X-Force: 6652
SecurityFocus: 2832 - Microsoft Exchange OWA Embedded Script Execution Vulnerability
Vulnerability Center: 819 - [MS01-030] Microsoft Exchange OWA Embedded Script Execution Vulnerability, Medium
Eintrag
Erstellt: 07.07.2014 15:25Aktualisierung: 07.10.2025 03:43
Anpassungen: 07.07.2014 15:25 (61), 09.05.2019 00:19 (4), 07.10.2025 03:43 (18)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.