1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2012-042 Vulnerabilidad en portal de Microsoft Dynamics AX Enterprise que podría permitir la elevación de privilegios

Esta actualización resuelve una vulnerabilidad reportada en el portal de Microsoft Dynamics AX Enterprise. La vulnerabilidad podría permitir la elevación de privilegios si un usuario hace clic en una URL o visita un sitio web especialmente diseñados. En un ataque por correo electrónico, el atacante puede aprovechar la vulnerabilidad si envía un mensaje de correo electrónico con una dirección URL especialmente diseñada al usuario del sitio del portal de Microsoft Dynamics AX Enterprise afectado y lo convence para que haga clic en la dirección URL especialmente diseñada. Los usuarios de Internet Explorer 8 e Internet Explorer 9 que exploran un sitio de Microsoft Dynamics AX Enterprise Portal en la zona Internet están menos expuestos. De forma predeterminada, el filtro XSS en Internet Explorer 8 e Internet Explorer 9 evita este ataque en la zona Internet. No obstante, el filtro XSS en Internet Explorer 8 e Internet Explorer 9 no está habilitado de forma predeterminada en la zona Intranet.

  • Fecha de Liberación: 12-Jun-2012
  • Ultima Revisión: 15-Ago-2012
  • Fuente: Microsoft Corp.
  • Riesgo Importante
  • Problema de Vulnerabilidad Local y remoto
  • Tipo de Vulnerabilidad Elevación de privilegios

Sistemas Afectados

Microsoft Windows Windows Microsoft Dynamics AX 2012 Enterprise Portal < KB2706738
  1. Índice de explotabilidad

    Vulnerabilidad de XSS en el portal de Dynamics AX Enterprise CVE-2012-1857

    Código de explotación consistente

  2. Descripción

    Vulnerabilidad de XSS en el portal de Dynamics AX Enterprise CVE-2012-1857

    Existe una vulnerabilidad de cross-site-scripting en el portal de Microsoft Dynamics AX Enterprise que podría resultar la divulgación de información o la elevación de privilegios si un usuario hace clic en una URL especialmente diseñada que contiene elementos JavaScript maliciosos.  Debido a la vulnerabilidad, cuando el código JavaScript malicioso se repite en el navegador del usuario, la página resultante podría permitir a un atacante emitir comandos en el portal de Microsoft Dynamics AX Enterprise el contexto del usuario autenticado en el portal de Microsoft Dynamics AX Enterprise de destino.

  3. Impacto

    Vulnerabilidad de XSS en el portal de Dynamics AX Enterprise CVE-2012-1857

    Un atacante que explotara esta vulnerabilidad podría leer el contenido que el atacante no está autorizado a leer, usar la identidad de la víctima a tomar medidas en el portal de Microsoft Dynamics sitio web de AX Enterprise en nombre de la víctima, tales como cambiar los permisos y eliminar contenido, e inyectar contenido malicioso en el navegador de la víctima.

  4. Solución

    Microsoft Dynamics AX 2012

  5. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Mayra Villeda (mvilleda at seguridad dot unam dot mx)
  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT