PT-2020-2944 · Microsoft · Sharepoint Server+1
Publicado
2020-06-09
·
Atualizado
2021-07-21
·
CVE-2020-1181
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Microsoft SharePoint Server (versões afetadas não especificadas)
Microsoft SharePoint Foundation (versões afetadas não especificadas)
Microsoft SharePoint Enterprise Server (versões afetadas não especificadas)
Descrição
O problema está relacionado à validação insuficiente de entradas no Microsoft SharePoint Server, permitindo que um invasor remoto execute código arbitrário usando uma página especialmente criada. Um invasor autenticado poderia explorar isso para realizar ações no contexto de segurança do processo do pool de aplicativos do SharePoint. A vulnerabilidade está associada à falha em identificar e filtrar adequadamente controles da Web ASP.Net não seguros.
Recomendações
Para o Microsoft SharePoint Server, considere restringir o acesso a controles da Web ASP.Net não seguros até que uma correção esteja disponível.
Para o Microsoft SharePoint Foundation, restrinja o uso de páginas especialmente criadas para minimizar o risco de exploração.
Para o Microsoft SharePoint Enterprise Server, como solução alternativa temporária, considere desativar a execução de código arbitrário no contexto de segurança do processo do pool de aplicativos do SharePoint até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sharepoint Server
Sharepoint Foundation