每个微软补丁日都是令人兴奋的0.0,Exchange近日曝光了一个XSS漏洞 -- CVE-2021-41349。 虽然只是个XSS,但由于发生在Exchange这个重点“关注对象”上面,还是引起了不小的反响。CVSS评分6.5,不高不低,本文对此漏洞进行复现,老(稳)规(妥)矩(点),一键扫描的Poc文末获取吧 <= Exchange 2013 update 23 <= Exchange 2016 update 22 <= Exchange 2019 update 11 漏洞点 autodiscover/autodiscover.json 没错,又是这个熟悉的组件,作者也说了,自己是研究ProxyShell的时候偶然发现的这个XSS。。。 复现 直接上图 参考链接 https://nvd.nist.gov/vuln/detail/CVE-2021-41349 https://twitter.com/rootxharsh/status/1459221904108097537 |
|