int(963)

Vulnerability Bulletins


Cross-site scripting y spoofing en Outlook Web Access para Exchange Server 5.5

Vulnerability classification

Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio exotico

System information

Property Value
Affected manufacturer Microsoft
Affected software Microsoft Exchange Server 5.5 SP4

Description

Se ha descubierto una vulnerabilidad de cross-site scripting en Exchange Server, por la cual un atacante podría ejecutar código en el sistema de su víctima.

Para la explotación, el atacante necesita enviar un email especial que contenga un enlace determinado, y que la víctima pinche en este enlace. El código script resultante se ejecutaría en el contexto de seguridad del usuario que recibe el email, dando al atacante los mismos privilegios de acceso al servidor de Outlook Web Access que tenía el usuario legítimo.

Por otra parte, la vulnerabilidad también puede ser utilizada para alterar las cachés de proxies y navegadores, y falsear el contenido almacenado en estas cachés.

Solution



Actualización de software

Microsoft Exchange Server 5.5
Instale la actualización de seguridad KB842436
http://download.microsoft.com/download/d/f/6/df625ed0-5475-4df0-9364-4dfb2a10ab69/Exchange5.5-KB842436-x86-enu.EXE

Standar resources

Property Value
CVE CAN-2004-0203
BID

Other resources

Microsoft Security Bulletin MS04-026
http://www.microsoft.com/technet/security/Bulletin/MS04-026.mspx

Version history

Version Comments Date
1.0 Aviso emitido 2004-08-11
Ministerio de Defensa
CNI
CCN
CCN-CERT