Microsoft Exchange Server 远程代码执行漏洞

来源: 投稿

2023-11-16 10:16:00

漏洞描述

Microsoft Exchange Server 是微软公司开发的一款邮件服务器。

Microsoft Exchange Server 受影响版本中，具有普通用户权限（Exchange 用户凭据）的攻击者可以在同一内网环境中攻击Exchange服务，在服务器邮箱后端以NT AUTHORITY\SYSTEM的身份获得远程代码执行权限。

漏洞名称	Microsoft Exchange Server 远程代码执行漏洞
漏洞类型	代码注入
发现时间	2023-11-15
漏洞影响广度	广
MPS编号	MPS-z7l2-u3tm
CVE编号	CVE-2023-36439
CNVD编号	-

影响范围

exchange_server@[2019 Cumulative Update 12, 2019 Cumulative Update 13]

exchange_server@[2016 Cumulative Update 23, 2016 Cumulative Update 23]

修复方案

官方已发布补丁：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36439、https://www.microsoft.com/en-us/download/details.aspx?id=105713

参考链接

https://www.oscs1024.com/hd/MPS-z7l2-u3tm

https://nvd.nist.gov/vuln/detail/CVE-2023-36439

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36439

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

-SORA- 2023-12-09 16:21

vscode+Remote-SSH的出现，反倒说明选择Electron是正确的

cxc236 2023-12-08 00:24

还以为是道歉的帖子，却还是在文过饰非。

cczywyc 2023-12-04 11:12

不要混淆概念，大家从来都不是反对收费，所以别在这扯什么人生价值、情商智商乱七八糟的。本质上这是违反 MIT 协议的问题，别在这又当又立的。

沈浪熊猫儿 2023-12-09 19:07

v1.2.0还有不少小毛病，v1.2.1会在最近发布

陈钇蒙 2023-12-09 19:18

eclipse企业版就是MyEclipse

MGLEE 2023-12-09 20:44

linux里最佳选择

zlqzlq 2023-12-09 15:51

原来是最早的技术大牛

Elric黄 2023-12-06 10:22

华为这请要求就是想请数学好一点的码农而不是请真正的数学家

winnyrain 2023-12-05 10:12

这不是商业化，这是赤裸裸的割韭菜，违反MIT协议，毫无信用，人品崩塌，看到大家都在骂，我就放心了

UOSCN 2023-12-03 20:34

对话百小僧，首先你这肯定是不犯法，但是违背行业规则，破坏行业规则；破坏的是技术圈开源精神，违背行业规则。如果行业人员多数认为不合理。那就用脚投票，过度完这波就换架构吧。毕竟一个人的诚信还是很重要的。本来互联网技术圈基于信任使用了你的框架，但是现在中途收费，这算什么，在绝大多数人认知里都认为是割韭菜吧；记得作者号称千万star吗？看看最近购买文档、VIP数量，实际转化率不足1%，这些转化率是否包含了采用框架去开发后不得不购买的原因，所以大家都是用脚投票，但是有些人不得不屈服；

phper08 2023-12-04 13:15