Subdirección de Seguridad de la Información

Subdirección de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7 8

Vulnerabilidades rss pdf

Subdirección de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2012-014 Vulnerabilidades en Microsoft SharePoint podrían permitir la elevación de privilegios

Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en Microsoft SharePoint y Microsoft SharePoint Foundation. Estas vulnerabilidades podrían permitir la elevación de privilegios o la divulgación de información si un usuario hace clic en una dirección URL maliciosa.

  • Fecha de Liberación: 14-Feb-2012
  • Ultima Revisión: 20-Feb-2012
  • Fuente: Microsoft Corp.
  • Riesgo Importante
  • Problema de Vulnerabilidad Local y remoto
  • Tipo de Vulnerabilidad Elevación de privilegios

Sistemas Afectados

Microsoft Windows todas las versiones Microsoft SharePoint Foundation 2010 and Microsoft SharePoint Foundation 2010 Service Pack 1 KB2553413
Microsoft Windows todas las versiones Microsoft SharePoint Server 2010 and Microsoft SharePoint Server 2010 Service Pack 1 KB2597124
  1. Índice de explotabilidad

    Vulnerabilidad de XSS en inplview.aspx - CVE-2012-0017

    Código de explotación consistente.

    Vulnerabilidad de XSS en themeweb.aspx - CVE-2012-0144

    Código de explotación consistente.

    Vulnerabilidad de XSS en wizardlist.aspx - CVE-2012-0145

    Código de explotación consistente.

  2. Descripción

    Vulnerabilidad de XSS en inplview.aspx - CVE-2012-0017

    Existe una vulnerabilidad de cross-site scripting en Microsoft SharePoint 2010 que podría provocar la divulgación de información o la elevación de privilegios si un usuario hace clic en una dirección URL maliciosa que contenga elementos JavaScript malintencionados.

    Vulnerabilidad de XSS en themeweb.aspx - CVE-2012-0144

    Existe una vulnerabilidad de cross-site scripting en Microsoft SharePoint 2010 que podría provocar la divulgación de información o la elevación de privilegios si un usuario hace clic en una dirección URL maliciosa que contenga elementos JavaScript malintencionados.

    Vulnerabilidad de XSS en wizardlist.aspx - CVE-2012-0145

    Existe una vulnerabilidad de cross-site scripting en Microsoft SharePoint 2010 que podría provocar la divulgación de información o la elevación de privilegios si un usuario hace clic en una dirección URL maliciosa que contenga elementos JavaScript malintencionados.

  3. Impacto

    Vulnerabilidad de XSS en inplview.aspx - CVE-2012-0017

    Debido a la vulnerabilidad, cuando el código JavaScript malintencionado se repite en el explorador del usuario, la página resultante podría permitir que un atacante emitiera comandos de SharePoint en el contexto del usuario autenticado en el sitio de SharePoint de destino.

    Vulnerabilidad de XSS en themeweb.aspx - CVE-2012-0144

    Debido a la vulnerabilidad, cuando el código JavaScript malintencionado se repite en el explorador del usuario, la página resultante podría permitir que un atacante emitiera comandos de SharePoint en el contexto del usuario autenticado en el sitio de SharePoint de destino.

    Vulnerabilidad de XSS en wizardlist.aspx - CVE-2012-0145

    Debido a la vulnerabilidad, cuando el código JavaScript malintencionado se repite en el explorador del usuario, la página resultante podría permitir que un atacante emitiera comandos de SharePoint en el contexto del usuario autenticado en el sitio de SharePoint de destino.

  4. Solución

    1. Microsoft SharePoint Server 2010 and Microsoft SharePoint Server 2010 Service Pack 1
    2. Microsoft SharePoint Foundation 2010 and Microsoft SharePoint Foundation 2010 Service Pack 1
  5. Referencias

La Subdirección de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Francisco Carlos Martínez Godínez (fmartinez at seguridad dot unam dot mx)
  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Subdirección de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México 100 años UNAM EQA ISO 27001 FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT