A través de la publicación en la lista de correo Bugtraq, la empresa
«High-Tech Bridge» ha publicado un fallo que afecta a los productos
Office SharePoint Server 2007 y Windows SharePoint Services 3.0.
«High-Tech Bridge» ha publicado un fallo que afecta a los productos
Office SharePoint Server 2007 y Windows SharePoint Services 3.0.
La vulnerabilidad reside en una falta de validación del parámetro «cid0»
en el «/_layouts/help.aspx». Un atacante podría emplear este problema
para causar ataques de cross-site scripting no persistente, a través
de una url especialmente manipulada. Un ataque exitoso permite a un
atacante obtener los privilegios y acceso de la víctima al sitio
Sharepoint.
Microsoft ha comunicado, a través de un boletín oficial, que se
encuentra trabajando en una solución. Por el momento y hasta la
publicación de la actualización definitiva, como contramedida se
recomienda restringir el acceso a Help.aspx de SharePoint; siguiendo
las instrucciones del aviso de seguridad:
http://www.microsoft.com/
Via: Hispasec
