Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y cinco vulnerabilidades de las que se ha informado de forma privada en Microsoft SharePoint y Windows SharePoint Services. Las vulnerabilidades más graves podrían permitir la elevación de privilegios si un usuario hace clic en una dirección URL especialmente diseñada que lo dirige a un sitio de SharePoint atacado.
Microsoft Windows todas las versiones | Microsoft Groove Server 2010 | <= | KB2553005 |
Microsoft Windows todas las versiones | Microsoft Groove Server 2010 Service Pack 1 | <= | KB2553005 |
Microsoft Windows todas las versiones | Microsoft InfoPath 2007 Service Pack 2 | < | KB2596666 |
Microsoft Windows todas las versiones | Microsoft InfoPath 2007 Service Pack 3 | < | KB2596666 |
Microsoft Windows todas las versiones | Microsoft InfoPath 2010 (32-bit editions) | < | KB2553431 |
Microsoft Windows todas las versiones | Microsoft InfoPath 2010 (64-bit editions) | < | KB2553431 |
Microsoft Windows todas las versiones | Microsoft InfoPath 2010 Service Pack 1 (32-bit editions) | < | KB2553431 |
Microsoft Windows todas las versiones | Microsoft InfoPath 2010 Service Pack 1 (64-bit editions) | < | KB2553431 |
Microsoft Windows todas las versiones | Microsoft Office SharePoint Server 2007 Service Pack 2 (32-bit editions) | <= | KB2508964 |
Microsoft Windows todas las versiones | Microsoft Office SharePoint Server 2007 Service Pack 2 (64-bit editions) | <= | KB2508964 |
Microsoft Windows todas las versiones | Microsoft Office SharePoint Server 2007 Service Pack 3 (32-bit editions) | <= | KB2508964 |
Microsoft Windows todas las versiones | Microsoft Office SharePoint Server 2007 Service Pack 3 (64-bit editions) | <= | KB2508964 |
Microsoft Windows todas las versiones | Microsoft Office Web Apps 2010 | <= | KB2566449 |
Microsoft Windows todas las versiones | Microsoft Office Web Apps 2010 Service Pack 1 | <= | KB2566449 |
Microsoft Windows todas las versiones | Microsoft Publisher 2007 Service Pack 1 | <= | KB2494001 |
Microsoft Windows todas las versiones | Microsoft SharePoint Foundation 2010 | <= | KB2494001 |
Microsoft Windows todas las versiones | Microsoft SharePoint Server 2010 | <= | KB2566960 |
Microsoft Windows todas las versiones | Microsoft SharePoint Server 2010 Service Pack 1 | <= | KB2566960 |
Microsoft Windows todas las versiones | Microsoft Windows SharePoint Services 3.0 Service Pack 2 (32-bit version) | <= | KB2493987 |
Microsoft Windows todas las versiones | Microsoft Windows SharePoint Services 3.0 Service Pack 2 (64-bit version) | <= | KB2493987 |
Vulnerabilidad de saneamiento de HTML - CVE-2012-1858
Código de explotación funcional improbable.
Vulnerabilidad de scriptresx.ashx de XSS - CVE-2012-1859
Código de explotación consistente.
Vulnerabilidad de script en nombre de usuario en SharePoint - CVE-2012-1861
Código de explotación consistente.
Vulnerabilidad de parámetro de lista reflejada en SharePoint - CVE-2012-1863
Código de explotación consistente.
Vulnerabilidad de saneamiento de HTML - CVE-2012-1858
Existe una vulnerabilidad de divulgación de información en la forma en que se sanean las cadenas HTML.
Vulnerabilidad de scriptresx.ashx de XSS - CVE-2012-1859
Existe una vulnerabilidad de elevación de scripts de sitios y de elevación de privilegios en SharePoint que permite que el código JavaScript controlado por el atacante se ejecute en el contexto de un usuario que hace clic en un vínculo.
Vulnerabilidad de ámbito de búsqueda en SharePoint - CVE-2012-1860
Existe una vulnerabilidad de divulgación de información en la forma en que SharePoint almacena los ámbitos de búsqueda.
Vulnerabilidad de script en nombre de usuario en SharePoint - CVE-2012-1861
Existe una vulnerabilidad de elevación de scripts de sitios en SharePoint que permite que el código JavaScript controlado por el atacante se ejecute en el contexto de un usuario que hace clic en un vínculo.
Vulnerabilidad de redireccionamiento de dirección URL en SharePoint - CVE-2012-1862
Existe una vulnerabilidad de redireccionamiento de dirección URL, que podría conllevar la suplantación y la divulgación de información.
Vulnerabilidad de parámetro de lista reflejada en SharePoint - CVE-2012-1863
Existe una vulnerabilidad de elevación de scripts de sitios en SharePoint que permite que el código JavaScript controlado por el atacante se ejecute en el contexto de un usuario que hace clic en un vínculo.
Vulnerabilidad de saneamiento de HTML - CVE-2012-1858
Un atacante que consiguiera aprovechar esta vulnerabilidad podría realizar ataques de secuencias de comandos de sitios y ejecutar una secuencia de comandos en el contexto de seguridad del usuario que ha iniciado sesión.
Vulnerabilidad de scriptresx.ashx de XSS - CVE-2012-1859
Se trata de una vulnerabilidad de elevación de privilegios ya que permite que un atacante anónimo pueda emitir comandos de SharePoint en el contexto de un usuario autenticado en el sitio.
Vulnerabilidad de ámbito de búsqueda en SharePoint - CVE-2012-1860
Un atacante podría ver o modificar los ámbitos de búsqueda de otros usuarios.
Vulnerabilidad de script en nombre de usuario en SharePoint - CVE-2012-1861
Se trata de una vulnerabilidad de elevación de privilegios ya que permite que un atacante anónimo pueda emitir comandos de SharePoint en el contexto de un usuario autenticado.
Vulnerabilidad de redireccionamiento de dirección URL en SharePoint - CVE-2012-1862
Podría permitir a un atacante redireccionar a un usuario a una dirección URL externa.
Vulnerabilidad de parámetro de lista reflejada en SharePoint - CVE-2012-1863
Se trata de una vulnerabilidad de elevación de privilegios ya que permite que un atacante anónimo pueda emitir comandos de SharePoint en el contexto de un usuario autenticado.
Microsoft Office SharePoint Server 2007 Service Pack 2 (32-bit editions)
Microsoft Office SharePoint Server 2007 Service Pack 3 (32-bit editions)
Microsoft Office SharePoint Server 2007 Service Pack 2 (64-bit editions)
Microsoft Office SharePoint Server 2007 Service Pack 3 (64-bit editions)
Microsoft SharePoint Server 2010
Microsoft SharePoint Server 2010 Service Pack 1
Microsoft Groove Server
Windows SharePoint Services and Microsoft SharePoint Foundation
Microsoft Office Web Apps
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT