Microsoft waarschuwt beheerders van een SharePoint server voor een Cross-Site Scripting-lek (XSS), waardoor aanvallers de rechten van ingelogde gebruikers kunnen krijgen. De kwetsbaarheid is aanwezig in SharePoint Server 2007 en SharePoint Services 3.0. Om het lek te misbruiken moet een aanvaller een URL met een script naar een SharePoint-gebruiker sturen. Als die de link opent, wordt het script met dezelfde rechten als de ingelogde gebruiker op de SharePoint site uitgevoerd. Het is niet mogelijk om inloggegevens van gebruikers te stelen, aangezien SharePoint HttpOnly authentication cookies gebruikt.

Servers lopen minder risico als gebruikers Internet Explorer 8 gebruiken, aangezien het XSS-filter in de browser het probleem in de internet zone voorkomt. Volgens Microsoft wordt het lek nog niet actief door aanvallers misbruikt. Toch werkt de softwaregigant aan een update die het probleem moet oplossen. In de tussentijd kunnen beheerders toegang tot het kwetsbare Help.aspx beperken. Dat voorkomt misbruik van het lek, maar zorgt er wel voor dat de help-functionaliteit wordt uitgeschakeld.