Microsoft Exchange Server外部實體注入漏洞 - 山西鑫鼎宸科技股份有限公司

我的位置：

Microsoft Exchange Server外部實體注入漏洞

CNNVD編號：未知
危害等級：高危
CVE編號：CVE-2020-17141/17143
漏洞類型： XXE
威脅類型：未知
廠商：未知
漏洞來源：深信服
發(fā)布時間：2020-12-28
更新時間：2021-01-13

漏洞簡介

1、Microsoft Exchange Server 介紹

Microsoft Exchange Server是美國微軟（Microsoft）公司的一套電子郵件服務程序，它可以被用來構(gòu)架應用于企業(yè)、學校的郵件系統(tǒng)或免費郵件系統(tǒng)。并提供郵件存取、儲存、轉(zhuǎn)發(fā)，語音郵件、郵件過濾篩選等功能，適合有各種協(xié)作需求的用戶使用。

2、漏洞描述

當Microsoft Exchange Server軟件無法正確處理內(nèi)存中的對象時，會造成外部實體注入漏洞。成功利用此漏洞的攻擊者可以在系統(tǒng)用戶的上下文中運行任意代碼，攻擊者可以利用此漏洞攻擊者需要向易受攻擊的Exchange服務器發(fā)送精心編制的請求。成功后可以執(zhí)行任意命令。

3、漏洞復現(xiàn)