CVE-2021-31195 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Microsoft Exchange Server 存在**代码注入**漏洞（具体为 XSS）。 💥 **后果**：攻击者可注入恶意脚本，导致**高机密性泄露**（C:H），但完整性（I:N）和可用性（A:N）未直接受影响。

🔍 **缺陷点**：OWA (Outlook Web App) 中的 `frowny.asp` 页面的 **refurl 参数**。 ⚠️ **CWE**：数据中未提供具体 CWE ID，但描述指向 **跨站脚本 (XSS)** 类型的注入缺陷。

📦 **受影响版本**： - Microsoft Exchange Server **2016** Cumulative Update **19** - Microsoft Exchange Server **2019** Cumulative Update **8** - 其他 Exchange Server 版本（描述截断，需核实）

🕵️ **黑客能力**： - **权限**：无需高权限，利用 **UI:R** (用户交互) 即可。 - **数据**：主要风险是**机密性**，可能窃取会话 Cookie 或敏感邮件数据。 - **范围**：S:U (未改变安全上下文)，影响限于当前用户上下文。

🚧 **利用门槛**：**中等**。 - **网络**：AV:N (远程可利用) - **复杂度**：AC:L (低) - **认证**：PR:N (无需认证) - **交互**：**UI:R** (需要用户点击或交互，非完全自动) 👉 需要诱导用户访问恶意链接。

💻 **现成 Exp**： - **有 PoC**：ProjectDiscovery 提供了 Nuclei 模板。 - **链接**：`https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-31195.yaml` - **在野利用**：数据未明确提及，但 PoC 已公开，风险较高。

🔎 **自查方法**： 1. 使用 **Nuclei** 扫描工具，加载上述 CVE 模板。 2. 检查 OWA 登录页或错误页面 (`frowny.asp`) 的 `refurl` 参数是否未正确编码。 3. 监控 Web 日志中是否有异常的 XSS 注入尝试。

🛡️ **官方修复**： - **状态**：微软已发布安全公告 (MSRC)。 - **行动**：建议立即更新到**最新累积更新 (CU)**。 - **链接**：`https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-31195`

🚫 **临时规避**： - **限制访问**：禁止外部直接访问 OWA 页面，仅允许内网或 VPN。 - **WAF 规则**：配置 Web 应用防火墙，过滤包含 `<script>` 或特殊字符的 `refurl` 参数。 - **用户教育**：提醒员工不要点击来源不明的 OWA 链接。

⚡ **优先级**：**高**。 - **CVSS 评分**：虽未直接给出总分，但 **C:H** (高机密性) + **AC:L** (低复杂度) + **PR:N** (无认证) 意味着**极易被利用**。 - **建议**：立即打补丁，尤其是面向公网的 Exchange 服务器。