情資內容

概述 安裝Microsoft Exchange Server期間無法正確創建唯一密鑰時，將存在一個遠端執行程式碼漏洞。 知道驗證密鑰後，具有郵箱的用戶經過身份驗證後，可以傳遞任意物件交由以SYSTEM身份執行的Web應用程序進行反序列化。 此漏洞目前已有攻擊程式碼。請參考https://www.exploit-db.com/exploits/48153。 影響平台 Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 Microsoft Exchange Server 2013 Cumulative Update 23 Microsoft Exchange Server 2016 Cumulative Update 14 Microsoft Exchange Server 2016 Cumulative Update 15 Microsoft Exchange Server 2019 Cumulative Update 3 Microsoft Exchange Server 2019 Cumulative Update 4 因應對策or建議措施 建議使用Microsoft官方提供之修正版本，於測試完成後，升級營運系統。 CVSS向量 CVE-2020-0688 使用版本：CVSS 3.1 分析分數：8.8 分析向量：CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 參考連結 1. Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688 2. Exploit Database https://www.exploit-db.com/exploits/48153 3. National Vulnerability Database https://nvd.nist.gov/vuln/detail/CVE-2020-0688 建議措施： 參考資料： 影響平台：