1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2013-027 Vulnerabilidad en SharePoint podría permitir la elevación de privilegios

Esta actualización de seguridad resuelve cuatro vulnerabilidades que se han reportado de forma privada en Microsoft SharePoint y Microsoft SharePoint Foundation. Las vulnerabilidades más graves podrían permitir la elevación de privilegios si un usuario hace clic en una dirección URL especialmente diseñada que manda a un sitio de SharePoint atacado.

  • Fecha de Liberación: 12-Mar-2013
  • Ultima Revisión: 19-Mar-2013
  • Fuente:
  • CVE ID: CVE-2013-0080 CVE-2013-0083 CVE-2013-0084 CVE-2013-0085
  • Riesgo Crítico
  • Problema de Vulnerabilidad Local y remoto
  • Tipo de Vulnerabilidad Elevación de privilegios

Sistemas Afectados

Microsoft Windows Windows Microsoft SharePoint Foundation 2010 Service Pack 1 < 2687418
Microsoft Windows Windows Microsoft SharePoint Server 2010 Service Pack 1 < 2553407
  1. Índice de explotabilidad

    Vulnerabilidad de la función Callback - CVE-2013-0080

    Código de explotación consistente

    Vulnerabilidad de XSS en SharePoint - CVE-2013-0083

    Código de explotación consistente

    Vulnerabilidad de Directory Traversal en SharePoint - CVE-2013-0084

    Código de explotación inconsistente

    Vulnerabilidad de desbordamiento del búfer - CVE-2013-0085

    Código de explotación inconsistente

  2. Descripción

    Vulnerabilidad de la función Callback - CVE-2013-0080

    Existe una vulnerabilidad de elevación de privilegios en Microsoft SharePoint Server. Un atacante que explote por completo esta vulnerabilidad podría permitirle, después de obtener datos confidenciales del sistema, elevar sus privilegios y acceder al servidor.

    Vulnerabilidad de XSS en SharePoint - CVE-2013-0083

    Existe una vulnerabilidad de elevación de privilegios en Microsoft SharePoint Server. Un atacante que explote por completo esta vulnerabilidad podría ejecutar comandos de SharePoint en contexto de un usuario administrador del sitio.

    Vulnerabilidad de Directory Traversal en SharePoint - CVE-2013-0084

    Existe una vulnerabilidad de elevación de privilegios en Microsoft SharePoint Server. Un atacante que explote por completo esta vulnerabilidad podría permitirle, después de obtener datos confidenciales del sistema, elevar sus privilegios y acceder al servidor.

    Vulnerabilidad de desbordamiento del búfer - CVE-2013-0085

    Existe una vulnerabilidad de denegación de servicio en Microsoft SharePoint Server. Un atacante que explote por completo esta vulnerabilidad podría provocar que se vea afectado el proceso W3WP y lo finalice en una version de SharePoint Server, causando que el sitio de SharePoint, y cualquier otro sitio que se ejecute en ese proceso, deje de estar disponible hasta que se reinicie el proceso.

  3. Impacto

    Vulnerabilidad de la función Callback - CVE-2013-0080

    Un atacante que explote por completo esta vulnerabilidad podría leer el contenido del que no tiene autorización, usar la identidad de la víctima para realizar acciones en el sitio de SharePoint en nombre de la víctima, cambiar los permisos y eliminar contenido, e insertar contenido malintencionado en el explorador de la víctima.

    Vulnerabilidad de XSS en SharePoint - CVE-2013-0083

    Un atacante que explote por completo esta vulnerabilidad podría leer el contenido del que no tiene autorización, usar la identidad de la víctima para realizar acciones en el sitio de SharePoint en nombre de la víctima, cambiar los permisos y eliminar contenido, e insertar contenido malintencionado en el explorador de la víctima.

    Vulnerabilidad de Directory Traversal en SharePoint - CVE-2013-0084

    Un atacante que explote por completo esta vulnerabilidad podría leer el contenido del que no tiene autorización, usar la identidad de la víctima para realizar acciones en el sitio de SharePoint en nombre de la víctima, cambiar los permisos y eliminar contenido, e insertar contenido malintencionado en el explorador de la víctima.

    Vulnerabilidad de desbordamiento del búfer - CVE-2013-0085

    Un atacante que explote por completo esta vulnerabilidad podría provocar que se vea afectado el proceso W3WP y lo finalice en una version de SharePoint Server, causando que el sitio de SharePoint, y cualquier otro sitio que se ejecute en ese proceso, deje de estar disponible hasta que se reinicie el proceso.

  4. Solución

     

  5. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)
  • Edgar Israel Rubi Chavez (erubi at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT