黑客24小时在线接单网站

黑客在线接单,网站入侵,渗透测试,渗透网站,入侵网站

微软Exchange曝多个高危漏洞,无需验证交互即可触发

3微软于月2日发布Microsoft Exchange Server安全更新公告包括多个安全更新公告Exchange Server严重安全漏洞,危害等级为“高危”,漏洞编号分别为CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。

Exchange Server它是微软的一套电子邮件服务组件,是一个新闻与合作系统,主要提供电子邮件、会议安排、团体时间表管理、任务管理、文档管理、实时会议和工作流等合作应用。

漏洞详情

(1) CVE-2021-26855

该漏洞是Exchange服务端要求伪造漏洞(SSRF),利用这个漏洞的攻击者可以发送任何东西HTTP请求并绕过Exchange Server身份验证,远程未经授权的攻击者可以利用这个漏洞进行内网探测,并窃取用户邮箱的所有内容。

危害:这个漏洞是Exchange服务端要求伪造漏洞(SSRF),利用这个漏洞的攻击者可以发送任何东西HTTP请求并绕过Exchange Server身份验证,远程未经授权的攻击者可以利用这个漏洞进行内网探测,并窃取用户邮箱的所有内容。

(2) CVE-2021-26857

该漏洞是Unified Messaging 服务中不安全的反序列漏洞。利用这个漏洞,攻击者可以发送精心构造的恶意请求,以便在Exchange Server上以SYSTEM身份执行任何代码。

危害:这个漏洞是Unified Messaging 服务中不安全的反序列漏洞。利用这个漏洞,攻击者可以发送精心构造的恶意请求,以便在Exchange Server上以SYSTEM身份执行任何代码。

(3) CVE-2021-26858

该漏洞是Exchange在漏洞中写入任何文件。这个漏洞需要身份认证,文件可以写在服务器上的任何路径上。并且可以结合使用CVE-2021-26855 SSRF文件写入漏洞或绕过权限认证。

危害:这个漏洞是Exchange在漏洞中写入任何文件。这个漏洞需要身份认证,文件可以写在服务器上的任何路径上。并且可以结合使用CVE-2021-26855 SSRF文件写入漏洞或绕过权限认证。

(4) CVE-2021-27065

该漏洞是Exchange在漏洞中写入任何文件。这个漏洞需要身份认证,文件可以写在服务器上的任何路径上。并且可以结合使用CVE-2021-26855 SSRF文件写入漏洞或绕过权限认证。

危害:这个漏洞是Exchange在漏洞中写入任何文件。这个漏洞需要身份认证,文件可以写在服务器上的任何路径上。并且可以结合使用CVE-2021-26855 SSRF文件写入漏洞或绕过权限认证。

影响范围

                   
  • Microsoft Exchange 2013
  •                
  • Microsoft Exchange 2016
  •                
  • Microsoft Exchange 2019
  •                
  • Microsoft Exchange 2010

防范措施

(1) 微软已发布安全更新,以解决上述漏洞。建议受影响的用户尽快升级到安全版。下载官方安全版可参考以下链接:

                   
  • CVE-2021-26855: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
  •                
  • CVE-2021-26857: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
  •                
  • CVE-2021-26858: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
  •                
  • CVE-2021-27065: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

(2) 如不能及时升级,建议采取官方临时措施防御:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

   
  • 评论列表:
  •  鸢旧辞别
     发布于 2022-05-30 01:35:16  回复该评论
  • 3微软于月2日发布Microsoft Exchange Server安全更新公告包括多个安全更新公告Exchange Server严重安全漏洞,危害等级为“高危”,漏洞编号分别为CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-2706
  •  纵遇梦冥
     发布于 2022-05-30 01:05:47  回复该评论
  • ,文件可以写在服务器上的任何路径上。并且可以结合使用CVE-2021-26855 SSRF文件写入漏洞或绕过权限认证。危害:这个漏洞是Exchange在漏洞中写入任何文件。这个漏洞需要身份认证,文件可以写在服务器上的任何路径上。并且可以结合使用CVE
  •  南殷朮生
     发布于 2022-05-29 18:30:43  回复该评论
  • 。(2) CVE-2021-26857该漏洞是Unified Messaging 服务中不安全的反序列漏洞。利用这个漏洞,攻击者可以发送精心构造的恶意请求,以便在E

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.