Outlook Web Access for Exchange Server邮件字段跨站脚本漏洞（MS08-039）

2008-07-1000:00:00

Root

www.seebug.org

0.97 High

EPSS

Percentile

99.7%

JSON

BUGTRAQ ID: 30130
CVE(CAN) ID: CVE-2008-2247,CVE-2008-2248

Microsoft Exchange Server是一款流行的邮件服务器，Outlook Web Access是Exchange中用于通过Web浏览器读取和发送邮件的工具。

Outlook Web Access for Exchange Server中存在跨站脚本漏洞，允许在Exchange Server连接的OWA客户端上获得权限提升。如果要利用此漏洞，攻击者必须能够诱骗用户从单个OWA客户端中打开运行恶意脚本的特制电子邮件。如果执行了恶意脚本的话，则将在用户的OWA会话的安全上下文中运行，并能够以登录用户的身份执行用户可执行的任何操作，例如读取、发送和删除电子邮件。

Microsoft Exchange Server 2007 SP1
Microsoft Exchange Server 2007
Microsoft Exchange Server 2003 SP2
Microsoft

Microsoft已经为此发布了一个安全公告（MS08-039）以及相应补丁:
MS08-039：Vulnerabilities in Outlook Web Access for Exchange Server Could Allow Elevation of Privilege (953747)
链接：<a href=“http://www.microsoft.com/technet/security/bulletin/ms08-039.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/bulletin/ms08-039.mspx?pf=true</a>