Esta actualización de seguridad resuelve cuatro vulnerabilidades que se han reportado de forma privada en Microsoft SharePoint y Microsoft SharePoint Foundation. Las vulnerabilidades más graves podrían permitir la elevación de privilegios si un usuario hace clic en una dirección URL especialmente diseñada que manda a un sitio de SharePoint atacado.
Microsoft Windows Windows | Microsoft SharePoint Foundation 2010 Service Pack 1 | < | 2687418 |
Microsoft Windows Windows | Microsoft SharePoint Server 2010 Service Pack 1 | < | 2553407 |
Vulnerabilidad de la función Callback - CVE-2013-0080
Código de explotación consistente
Vulnerabilidad de XSS en SharePoint - CVE-2013-0083
Código de explotación consistente
Vulnerabilidad de Directory Traversal en SharePoint - CVE-2013-0084
Código de explotación inconsistente
Vulnerabilidad de desbordamiento del búfer - CVE-2013-0085
Código de explotación inconsistente
Vulnerabilidad de la función Callback - CVE-2013-0080
Existe una vulnerabilidad de elevación de privilegios en Microsoft SharePoint Server. Un atacante que explote por completo esta vulnerabilidad podría permitirle, después de obtener datos confidenciales del sistema, elevar sus privilegios y acceder al servidor.
Vulnerabilidad de XSS en SharePoint - CVE-2013-0083
Existe una vulnerabilidad de elevación de privilegios en Microsoft SharePoint Server. Un atacante que explote por completo esta vulnerabilidad podría ejecutar comandos de SharePoint en contexto de un usuario administrador del sitio.
Vulnerabilidad de Directory Traversal en SharePoint - CVE-2013-0084
Existe una vulnerabilidad de elevación de privilegios en Microsoft SharePoint Server. Un atacante que explote por completo esta vulnerabilidad podría permitirle, después de obtener datos confidenciales del sistema, elevar sus privilegios y acceder al servidor.
Vulnerabilidad de desbordamiento del búfer - CVE-2013-0085
Existe una vulnerabilidad de denegación de servicio en Microsoft SharePoint Server. Un atacante que explote por completo esta vulnerabilidad podría provocar que se vea afectado el proceso W3WP y lo finalice en una version de SharePoint Server, causando que el sitio de SharePoint, y cualquier otro sitio que se ejecute en ese proceso, deje de estar disponible hasta que se reinicie el proceso.
Vulnerabilidad de la función Callback - CVE-2013-0080
Un atacante que explote por completo esta vulnerabilidad podría leer el contenido del que no tiene autorización, usar la identidad de la víctima para realizar acciones en el sitio de SharePoint en nombre de la víctima, cambiar los permisos y eliminar contenido, e insertar contenido malintencionado en el explorador de la víctima.
Vulnerabilidad de XSS en SharePoint - CVE-2013-0083
Un atacante que explote por completo esta vulnerabilidad podría leer el contenido del que no tiene autorización, usar la identidad de la víctima para realizar acciones en el sitio de SharePoint en nombre de la víctima, cambiar los permisos y eliminar contenido, e insertar contenido malintencionado en el explorador de la víctima.
Vulnerabilidad de Directory Traversal en SharePoint - CVE-2013-0084
Un atacante que explote por completo esta vulnerabilidad podría leer el contenido del que no tiene autorización, usar la identidad de la víctima para realizar acciones en el sitio de SharePoint en nombre de la víctima, cambiar los permisos y eliminar contenido, e insertar contenido malintencionado en el explorador de la víctima.
Vulnerabilidad de desbordamiento del búfer - CVE-2013-0085
Un atacante que explote por completo esta vulnerabilidad podría provocar que se vea afectado el proceso W3WP y lo finalice en una version de SharePoint Server, causando que el sitio de SharePoint, y cualquier otro sitio que se ejecute en ese proceso, deje de estar disponible hasta que se reinicie el proceso.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT