Boletines de Vulnerabilidades |
Cross Site Scripting en Windows SharePoint y SharePoint Team Services |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Microsoft |
Software afectado |
Windows SharePoint Services / Windows Server 2003 SharePoint Team Services |
Descripción |
|
Se ha descubierto una vulnerabilidad de cross-site scripting en Windows SharePoint Services en Windows 2003 y en SharePoint Team Services. La vulnerabilidad reside en que el software afectado no valida correctamente la entrada que se le pasa en una petición de redirección HTML antes de enviar dicha entrada al navegador. La explotación de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código malicioso mediante el uso de enlaces especialmente diseñados que utilicen las aplicaciones vulnerables. El código se ejecutará en el contexto de seguridad del usuario que siga el enlace malicioso. |
|
Solución |
|
Actualización de software Microsoft Windows SharePoint Services / Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?FamilyId=6BB93661-0CE7-46CF-B8BB-55546B58A2F2 SharePoint Team Services http://www.microsoft.com/downloads/details.aspx?FamilyId=6BE3F8AD-768E-4BCB-8EB3-AD74B576038C http://www.microsoft.com/downloads/details.aspx?FamilyId=6BE3F8AD-768E-4BCB-8EB3-AD74B576038C |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2005-0049 |
BID | |
Recursos adicionales |
|
Microsoft Security Bulletin MS05-006 http://www.microsoft.com/technet/security/Bulletin/MS05-006.mspx |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2005-02-09 |