每个微软补丁日都是令人兴奋的0.0,Exchange近日曝光了一个XSS漏洞 -- CVE-2021-41349。
虽然只是个XSS,但由于发生在Exchange这个重点“关注对象”上面,还是引起了不小的反响。CVSS评分6.5,不高不低,本文对此漏洞进行复现,老(稳)规(妥)矩(点),一键扫描的Poc文末获取吧
<= Exchange 2013 update 23
<= Exchange 2016 update 22
<= Exchange 2019 update 11
漏洞点
autodiscover/autodiscover.json
没错,又是这个熟悉的组件,作者也说了,自己是研究ProxyShell的时候偶然发现的这个XSS。。。
复现
直接上图
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2021-41349
https://twitter.com/rootxharsh/status/1459221904108097537
联系客服