Suresh C

**Nome do software vulnerável e versões afetadas: Microsoft Exchange Server (versões afetadas não especificadas) Descrição: O problema está relacionado a uma vulnerabilidade de divulgação de informações na forma como o Microsoft Exchange valida tokens ao processar determinadas mensagens. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. A vulnerabilidade pode ser explorada através da inclusão de mensagens OWA especialmente criadas, que poderiam ser carregadas a partir de uma URL controlada pelo invasor, proporcionando uma tática de divulgação de informações utilizada em web beacons e outros tipos de sistemas de rastreamento. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Microsoft Dynamics 365 (local) (versões afetadas não especificadas) Descrição: Existe uma vulnerabilidade de cross-site scripting devido à proteção inadequada da estrutura da página da web. Isso poderia permitir que um invasor remoto realizasse ataques de cross-site scripting usando uma solicitação especialmente criada. Um invasor autenticado poderia explorar essa vulnerabilidade enviando uma solicitação especialmente criada ao servidor Dynamics afetado, o que poderia permitir que ele lesse conteúdo não autorizado, usasse a identidade da vítima para realizar ações no Dynamics Server, alterasse permissões, excluísse conteúdo e injetasse conteúdo malicioso no navegador do usuário. Recomendações: Para o Microsoft Dynamics 365 (local), aplique a atualização de segurança que corrige a vulnerabilidade, garantindo que o servidor Dynamics sanitize adequadamente as solicitações da web. Como solução alternativa temporária, considere restringir o acesso a áreas confidenciais do servidor Dynamics para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Microsoft SharePoint (affected versions not specified) **Description** A spoofing issue exists due to improper handling of requests to authorize applications, resulting in cross-site request forgery (CSRF). To exploit this, an attacker would need to create a page designed to cause a cross-site request. This allows a remote attacker to perform actions that may not be intended by the user. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Microsoft Exchange Server (affected versions not specified) **Description** The issue is related to insufficient sanitization of user-provided data, allowing a remote attacker to perform cross-site scripting attacks by sending a specially crafted request to the Exchange server. This could enable the attacker to read unauthorized content, use the victim's identity to take actions on the Exchange server, and inject malicious content into the user's browser. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Skype for Business 2015 (affected versions not specified) **Description** A spoofing issue exists due to improper sanitization of specially crafted requests. This could allow a remote attacker to perform a cross-site scripting attack using a specially crafted request. The issue is related to the lack of protection for the web page structure in Microsoft Lync Server and Skype for Business Server. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.