SharePoint是Microsoft Office套件中的一款工具，可为个人和公司创建门户页面。

该漏洞(CVE-2015-2522)是由FortiNet公司的FortiGuard实验室安全研究人员发现，该漏洞影响到SharePoint 2013 15.0.4571.1502及早前版本。

SharePoint是由微软公司开发的Web应用平台，将各种商业相关管理功能集合在一起的工具集，减轻了系统管理员早前需要从各种软件之间切换的负担。

在大多数真实情况下，SharePoint服务器部署在企业封闭的网络环境中，服务于大中型企业内部网，一度成为微软企业产品之最。提供内容管理，资料管理，个人云，社交网络，搜索，商务智能，工作流程管理等功能。

不恰当的过滤造成XSS缺陷

根据FortiNet的研究人员描述，攻击者可以在几个输入字段中键入恶意代码对微软的SharePoint平台进行XSS攻击。这几个字段分别是笔记记录，关键字，内容，这几个字段任何人都可以访问并且储存一个持续性XSS。

成功利用该漏洞，攻击者可以使用户从控制员下载并执行恶意代码，将用户浏览器重定向到一个包含恶意内容的页面，或者做一个假的身份验证弹出，要求用户输入登录信息等。

伴随漏洞而来的利用工具

研究人员同时还声称，攻击者可以盗取储存在身份验证cookies中或者用户代理字符串中的敏感信息。FortiNet的工作人员还指出，这些数据可以通过使用相关的利用工具将用户重定向到一个“恰当”的恶意有效载荷。

此外，由于SharePoint经常是与Windows Active Directory服务同时存在的，攻击者同时还可以获得共享的企业登录凭证，如此来获得公司的整套服务。

微软已经修补这个漏洞(MS15-099)

(责任编辑：腰编辑)