Microsoft Exchange server 代码注入漏洞

CNNVD-ID编号	CNNVD-202009-374
CVE编号	CVE-2020-16875
发布时间	2020-09-08
更新时间	2020-10-22
漏洞类型	代码注入
漏洞来源	Steven Seeley (mr_me) of Source Incite
危险等级	高危
威胁类型	远程
厂商	N/A

漏洞介绍

Microsoft Exchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序。它提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。

Microsoft Exchange server中存在远程代码执行漏洞，该漏洞源于cmdlet参数的验证不当，攻击者可利用该漏洞在系统用户上下文中运行任意代码。以下产品及版本受到影响： Microsoft Exchange Server 2016 Cumulative Update 17版本， Microsoft Exchange Server 2016 Cumulative Update 16版本， Microsoft Exchange Server 2019 Cumulative Update 6版本， Microsoft Exchange Server 2019 Cumulative Update 5版本。

漏洞补丁

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://portal.msrc.microsoft.com/en-us/security-guidance

参考网址

来源:N/A

链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16875
来源:cxsecurity.com

链接：https://cxsecurity.com/issue/WLB-2020090079
来源:media.cert.europa.eu

链接：https://media.cert.europa.eu/static/SecurityAdvisories/2020/CERT-EU-SA2020-044.pdf
来源:nvd.nist.gov

链接：https://nvd.nist.gov/vuln/detail/CVE-2020-16875
来源:packetstormsecurity.com

链接：https://packetstormsecurity.com/files/159210/Microsoft-Exchange-Server-DlpUtils-AddTenantDlpPolicy-Remote-Code-Execution.html
来源:vigilance.fr

链接：https://vigilance.fr/vulnerability/Microsoft-Exchange-Server-code-execution-33274

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202009-374