Microsoft
ha corregido 3 vulnerabilidades fuera de ciclo, que afectaban a varios de sus
productos, catalogadas de Importancia: 4 - Alta
Recursos afectados:
1. Team Foundation Server 2017 versión 3.1
2. Team Foundation Server 2018 versiones 1.2 y 3.2
3. Skype for Business Server 2015 CU 8
Detalle de vulnerabilidades
Las
vulnerabilidades de severidad alta son las siguientes:
- Una vulnerabilidad de
suplantación de identidad, cuando un servidor de Skype for Business Server
no valida correctamente una solicitud especialmente diseñada, podría
permitir a un atacante autenticado enviar dicha solicitud y ejectuar
scripts. Se ha reservado el identificador CVE-2019-0624 para esta
vulnerabilidad.
- Una vulnerabilidad de
Cross-site Scripting (XSS), cuando Team Foundation Server no valida
correctamente la información proporcionada por el usuario, podría permitir
a un atacante autenticado enviar un payload especialmente diseñado, y
ejecutar scripts, que le permitirían leer contenido no autorizado,
ejecutar código malicioso y suplantar la identidad de la víctima. Se ha
reservado el identificador CVE-2019-0646 para esta vulnerabilidad.
- Para la vulnerabilidad de
severidad media se ha reservado el identificador CVE-2019-0647.
Recomendación
·
Actualizar el sistema afectado a través de los
parches automáticos distribuidos por Microsoft.
Fuente: INCIBE