0x01 漏洞描述
Microsoft Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。Exchange server 可以被用来构架应用于企业、学校的邮件系统,Exchange Server 支持多种电子邮件网络协议,如 SMTP、NNTP、POP3 和 IMAP4 。Exchange Server 能够与微软公司的域活动目录结合,在国内外应用广泛。
Microsoft Exchange Server 2013 Cumulative Update 23、 Microsoft Exchange Server 2016 Cumulative Update 21、Cumulative Update 22、Microsoft Exchange Server2019 Cumulative Update 10、Cumulative Update 11中存在XSS漏洞,远程攻击者可以欺骗受害者跟随特制链接并在易受攻击的网站上下文中在用户浏览器中执行任意 HTML 和脚本代码。
0x02 危害等级
中危:6.5
0x03 漏洞复现
2021年12月1日,360漏洞云安全专家已复现上述漏洞,演示如下:
CVE-2021-41349
完整POC代码已在360漏洞云情报平台(https://loudongyun.360.cn/)发布,360漏洞云情报平台用户可通过平台下载进行安全自检。
0x04 影响版本
Microsoft Exchange Serve
=2016 Cumulative Update 21
=2016 Cumulative Update 22
=2019 Cumulative Update 10
=2019 Cumulative Update 11
0x05 修复建议
官方已发布更新修复该漏洞,建议用户尽快通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
下载地址:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42321
与此同时,360漏洞云提醒您请做好资产自查以及预防工作,以免遭受黑客攻击。