Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Microsoft

Fecha de publicación 16/01/2019
Importancia
4 - Alta
Recursos Afectados
  • Team Foundation Server 2017 versión 3.1
  • Team Foundation Server 2018 versiones 1.2 y 3.2
  • Skype for Business Server 2015 CU 8
Descripción

Microsoft ha corregido 3 vulnerabilidades fuera de ciclo, que afectaban a varios de sus productos.

Solución
  • Actualizar el sistema afectado a través de los parches automáticos distribuidos por Microsoft.
Detalle

Las vulnerabilidades de severidad alta son las siguientes:

  • Una vulnerabilidad de suplantación de identidad, cuando un servidor de Skype for Business Server no valida correctamente una solicitud especialmente diseñada, podría permitir a un atacante autenticado enviar dicha solicitud y ejecutar scripts. Se ha reservado el identificador CVE-2019-0624 para esta vulnerabilidad.
  • Una vulnerabilidad de Cross-site Scripting (XSS), cuando Team Foundation Server no valida correctamente la información proporcionada por el usuario, podría permitir a un atacante autenticado enviar un payload especialmente diseñado, y ejecutar scripts, que le permitirían leer contenido no autorizado, ejecutar código malicioso y suplantar la identidad de la víctima. Se ha reservado el identificador CVE-2019-0646 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media se ha reservado el identificador CVE-2019-0647.

Encuesta valoración

Listado de referencias
CVE-2019-0624 | Skype for Business 2015 Spoofing Vulnerability
CVE-2019-0646 | Team Foundation Server Cross-site Scripting Vulnerability
CVE-2019-0647 | Team Foundation Server Information Disclosure Vulnerability
Etiquetas