OWA یک سرویس از Exchange 5.5 و سرور 2000 که اجازه می دهد تا کاربران را به استفاده از یک مرورگر وب برای دسترسی به صندوق پستی تبادل آنها است. با این حال، یک نقص در تعامل بین OWA و اینترنت اکسپلورر برای فایل پیوست در پیام وجود دارد. اگر یک پیوست شامل کد HTML غیر جمله اسکریپت، اسکریپت می شود زمانی که پیوست باز است، صرف نظر از نوع دلبستگی اجرا خواهد شد. از آنجا که OWA مستلزم آن است که برنامه نویسی در منطقه که در آن سرور OWA واقع شده است را فعال کنید، این اسکریپت می تواند اقدام علیه صندوق پستی تبادل کاربر را. یک مهاجم می تواند این نقص را برای ساخت یک فایل ضمیمه حاوی کد مخرب اسکریپت استفاده کنید. مهاجم سپس می تواند ارسال فایل پیوست در یک پیام به کاربر
در مورد نیاز:.
ویندوز NT / 2000، مایکروسافت اکسچنج 5.5 SP4
نظر یافت نشد