VDB-156331 · CVE-2020-1318 · GCVE-0-2020-1318

Microsoft SharePoint Foundation 跨网站脚本

CVSS 元临时分数	当前攻击价格 (≈)	CTI兴趣分数
4.4	$0-$5k	0.00

摘要信息

在Microsoft SharePoint Foundation, SharePoint Enterprise Server and SharePoint Server中曾发现一漏洞，此漏洞被评为棘手。受此问题影响的是某些未知功能。由于被操作，进而引发跨网站脚本。该漏洞被处理的名称为CVE-2020-1318，攻击可能起始于远程，没有可利用漏洞。推荐安装补丁来解决该问题。

在Microsoft SharePoint Foundation, SharePoint Enterprise Server and SharePoint Server中曾发现一漏洞，此漏洞被评为棘手。受此问题影响的是某些未知功能。由于被操作，进而引发跨网站脚本。采用 CWE 描述该问题会链接到 CWE-79。此漏洞的脆弱性 2020-06-09公示人类型为Security Update Guide (网站)所发布。该通告可在 portal.msrc.microsoft.com 下载。此次公开的可用性已与供应商协调。

该漏洞被处理的名称为CVE-2020-1318，攻击可能起始于远程，无技术细节可用。此漏洞的受欢迎程度低于平均值。没有可利用漏洞。目前，大约为美元 $0-$5k。 MITRE ATT&CK 项目将 T1059.007 作为攻击技术。通告提到：

A cross-site-scripting (XSS) vulnerability exists when Microsoft SharePoint Server does not properly sanitize a specially crafted web request to an affected SharePoint server. An authenticated attacker could exploit the vulnerability by sending a specially crafted request to an affected SharePoint server.

如果有长度，则声明为未定义。作为零日漏洞，其地下市场的估计价格约为$0-$5k。

推荐安装补丁来解决该问题。在漏洞披露后立即，已经有可能的缓解措施发布。