PT-2021-3299 · Microsoft · Sharepoint Server+1
Alex Birnberg
·
Publicado
2021-06-08
·
Atualizado
2023-08-01
·
CVE-2021-31950
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Microsoft SharePoint Server anteriores à 16.0.10372.20060
Descrição
O problema está relacionado à validação insuficiente de entradas no Microsoft SharePoint Server, permitindo que um invasor remoto execute ataques de spoofing usando uma solicitação especialmente criada. Isso pode ser explorado por meio da função GetXmlDataFromDataSource, levando a uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF).
Recomendações
Para o Microsoft SharePoint Server versão 16.0.10372.20060 e anteriores, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso à função GetXmlDataFromDataSource para minimizar o risco de exploração.
Exploit
Correção
Spoofing
RCE
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sharepoint Server
Sharepoint Foundation