| Title | Microsoft Project Server および SharePoint Enterprise Server 2016 におけるクロスサイトフォージェリを実行される脆弱性 |
|---|---|
| Summary | Microsoft Project Server および SharePoint Enterprise Server 2016 には、クロスサイトフォージェリを実行され、許可されていないコンテンツを読まれ、Web アプリケーション上で、被害者の身元情報を使用し、被害者に代わって操作を実行される脆弱性が存在します。 ベンダは、本脆弱性を「Microsoft Project Server Elevation of Privilege Vulnerability」として公開しています。 |
| Possible impacts | 攻撃者により、クロスサイトフォージェリを実行されることで、許可されていないコンテンツを読まれ、Web アプリケーション上で、被害者の身元情報を使用し、被害者に代わってパーミッションを変更される、コンテンツを削除される、被害者のブラウザに悪意のあるコンテンツを挿入されるなどの操作を実行される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Nov. 14, 2017, midnight |
| Registration Date | Dec. 5, 2017, 10:22 a.m. |
| Last Update | Dec. 5, 2017, 10:22 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| CVSS2.0 : 警告 | |
| Score | 6.8 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| マイクロソフト |
| Microsoft Project Server 2013 SP1 |
| Microsoft SharePoint Enterprise Server 2016 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2017年12月05日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Microsoft Project Server and Microsoft SharePoint Enterprise Server 2016 allow an attacker to use cross-site forgery to read content that they are not authorized to read, use the victim's identity to take actions on the web application on behalf of the victim, such as change permissions and delete content, and inject malicious content in the browser of the victim, aka "Microsoft Project Server Elevation of Privilege Vulnerability". |
|---|---|
| Publication Date | Nov. 15, 2017, 12:29 p.m. |
| Registration Date | Jan. 26, 2021, 1:13 p.m. |
| Last Update | Nov. 21, 2024, 12:08 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:microsoft:project_server:2013:sp1:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:sharepoint_enterprise_server:2016:*:*:*:*:*:*:* | |||||