Vulnérabilité dans Microsoft SharePoint Server

Une vulnérabilité a été corrigée dans Microsoft SharePoint Server

Elle permet à un attaquant de provoquer une élévation de privilèges.

Il s’agit d’une vulnérabilité d’élévation de privilèges, celle-ci est causée lorsque SharePoint Server est abusée par une application spécialement conçue dans ce but et qui utilise le modèle d’extensibilité de SharePoint pour exécuter du code JavaScript arbitraire avec les droits de l’utilisateur authentifié courant.

Le danger réside dans le fait qu’un attaquant pourrait créer une application spécialement conçue pour exploiter cette vulnérabilité, puis convaincre les utilisateurs de l’installer afin d’exploiter la faille si elle n’est pas corrigée.

L’application peut contourner la gestion des autorisations et exécuter du code arbitraire dans le contexte de sécurité de l’utilisateur connecté.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait utiliser une application spécialement conçue pour exécuter du script arbitraire dans le contexte de sécurité de l’utilisateur connecté. Par exemple, le script pourrait agir sur le site SharePoint affecté avec les mêmes autorisations que l’utilisateur connecté.

Cette vulnérabilité concerne:

  • Microsoft SharePoint Server 2013 avec ou sans SP1
  • SharePoint Foundation 2013 avec ou sans SP1

Le bulletin de sécurité de Microsoft: Microsoft Security Bulletin MS14-050.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *