Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Exchange Server. La más grave de estas vulnerabilidades podría permitir elevación de privilegios si un usuario autenticado abre un enlace de una página web especialmente diseñada.
Microsoft Windows Windows | Microsoft Exchange Server 2013 Cumulative Update 8 | < | 3062157 |
Microsoft Windows Windows | Microsoft Exchange Server 2013 Service Pack 1 | < | 3062157 |
Vulnerabilidad de peticiones falsificadas en servidores con Exchange CVE-2015-1764
Código de explotación consistente.
Vulnerabilidad de peticiones falsificadas con Cross-Site en Exchange CVE-2015-1771
Código de explotación consistente.
Vulnerabilidad de inyección de HTML en Exchange CVE-2015-2359
Código de explotación consistente.
Vulnerabilidad de peticiones falsificadas en servidores con Exchange CVE-2015-1764
Existe una vulnerabilidad de divulgación de información en aplicaciones web de Microsoft Exchange cuando Exchange no maneja de manera adecuada la política del mismo origen.
Vulnerabilidad de peticiones falsificadas con Cross-Site en Exchange CVE-2015-1771
Existe una vulnerabilidad de elevación de privilegios en aplicaciones web de Microsoft Exchange cuando Exchange no maneja de manera adecuada las sesiones de usuarios.
Vulnerabilidad de inyección de HTML en Exchange CVE-2015-2359
Existe una vulnerabilidad de divulgación de información en aplicaciones web de Microsoft Exchange cuando Exchange no maneja de manera adecuada el escaneo de cadenas HTML.
Vulnerabilidad de peticiones falsificadas en servidores con Exchange CVE-2015-1764
Un atacante podría axplotar esta vulnerabilidad con peticiones falsificadas del lado del servidor (SSRF) mediante el uso de una solicitud de aplicación web especialmente diseñada. Un atacante que explote por completo esta vulnerabilidad podría:
Vulnerabilidad de peticiones falsificadas con Cross-Site en Exchange CVE-2015-1771
En caso de un ataque basado en web el intruso podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o reciba contenido proporcionado por el usuario) que contiene una página web especialmente diseñada para explotar esta vulnerabilidad.
Vulnerabilidad de inyección de HTML en Exchange CVE-2015-2359
Para explotar esta vulnerabilidad de inyección HTML un atacante debe tener la posibilidad de enviar una secuencia de comandos especialmente diseñados a un sitio que utilice el escaneo de HTML.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT