CVE-2002-0727 (CNNVD-200209-067)
中文标题:
Microsoft OWC可导致Active脚本执行漏洞
英文标题:
The Host function in Microsoft Office Web Components (OWC) 2000 and 2002 is exposed in components th...
漏洞描述
中文描述:
Microsoft Office Web Components (OWC)是一套ActiveX对象,使用Spreadsheets、Charts、Pivot tables等提供WEB页面更丰富的HTML文档形式。OWC在OFFCIE2000和OFFICE XP下都默认安装,也可以独立的下载使用。 Microsoft Office Web Components (OWC10)中在处理Spreadsheet组件中的"HOST()"规则存在漏洞,可导致攻击者即使在关闭脚本代码执行设置情况下仍旧可以执行Active脚本代码。 OFFICE XP中介绍了OWC10,增加了多个扩展功能,其中之一是为Spreadsheet组件提供"=HOST()"规则,可返回主机环境信息。 其中攻击者可以利用这个规则来操作浏览器文档对象模型DOM,由于缺少严格充分的逻辑判断,通过"=HOST()"规则使用Window对象中的setTimeout模式,就可以导致任意脚本即使在关闭Active脚本执行关闭的设置下,使用任何语言在IE浏览器上执行。
英文描述:
The Host function in Microsoft Office Web Components (OWC) 2000 and 2002 is exposed in components that are marked as safe for scripting, which allows remote attackers to execute arbitrary commands via the setTimeout method.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| microsoft | office_web_components | 2000 | - | - |
cpe:2.3:a:microsoft:office_web_components:2000:*:*:*:*:*:*:*
|
| microsoft | office_web_components | 2002 | - | - |
cpe:2.3:a:microsoft:office_web_components:2002:*:*:*:*:*:*:*
|
| microsoft | project | 2002 | - | - |
cpe:2.3:a:microsoft:project:2002:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
AV:N/AC:L/Au:N/C:P/I:P/A:P
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2002-0727 |
2025-11-11 15:17:24 | 2025-11-11 07:32:16 |
| NVD | nvd_CVE-2002-0727 |
2025-11-11 14:50:27 | 2025-11-11 07:41:02 |
| CNNVD | cnnvd_CNNVD-200209-067 |
2025-11-11 15:08:40 | 2025-11-11 07:48:48 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 授权问题
- cnnvd_id: 未提取 -> CNNVD-200209-067
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- severity: SeverityLevel.MEDIUM -> SeverityLevel.HIGH
- cvss_score: 未提取 -> 7.5
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:P/A:P
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 3
- data_sources: ['cve'] -> ['cve', 'nvd']