Microsoft Exchange Client Access Server 信息泄露

high Nessus 插件 ID 77026

简介

远程邮件服务器受到信息泄露漏洞的影响。

描述

Microsoft Exchange Client Access Server (CAS) 受到信息泄露漏洞的影响。未经认证的远程攻击者可利用此漏洞获取服务器的内部 IP 地址。
攻击者可通过空主机标头向 Web 服务器发送构建的 GET 请求,该请求会在标头响应中暴露底层系统的内部 IP 地址。

解决方案

当前版本仅修复了攻击二(反向代理/网关)。应用供应商提供的最新补丁。

另见

http://foofus.net/?p=758

http://www.nessus.org/u?4eedfe2d

http://www.nessus.org/u?caaa19d8

插件详情

严重性: High

ID: 77026

文件名: exchange_ip_disclosure.nasl

版本: 1.7

类型: remote

代理: windows

系列: Windows

发布时间: 2014/8/6

最近更新时间: 2019/1/2

支持的传感器: Nessus Agent

风险信息

CVSS 分数来源: manual

CVSS 分数理由: Nvd score unavailable. information disclosure vulnerability.

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 4.2

矢量: AV:N/AC:L/Au:N/C:P/I:N/A:N

时间矢量: E:U/RL:U/RC:ND

CVSS v3

风险因素: High

基本分数: 7.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

漏洞信息

CPE: cpe:/a:microsoft:exchange_server

易利用性: No known exploits are available

被 Nessus 利用: true

漏洞发布日期: 2014/8/1

参考资料信息

BID: 69018