La empresa "High-Tech Bridge" ha publicado un fallo que afecta a los productos Office SharePoint Server 2007 y Windows SharePoint Services 3.0.
La vulnerabilidad reside en una falta de validación del parámetro "cid0" en el "/_layouts/help.aspx", que podría ser utilizado para causar ataques de cross-site scripting no persistente, a través de una página especialmente manipulada y permitirles obtener los privilegios y acceso al sitio Sharepoint atacado.
Por el momento y hasta la publicación de la actualización definitiva, como contramedida se recomienda restringir el acceso a Help.aspx de SharePoint; siguiendo las instrucciones del aviso de seguridad: http://www.microsoft.com/technet/security/advisory/983438.mspx
Microsoft ha comunicado, a través de un boletín oficial, que se encuentra trabajando en una solución.
Fuente: High-Tech Bridg