2019-0326: Microsoft Dynamics 365: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-02-14 13:50)

Neues Advisory

Betroffene Software

Middleware

Betroffene Plattformen

Microsoft

Beschreibung:

Mehrere Schwachstellen in Microsoft Dynamics 365 ermöglichen einem entfernten, einfach authentifizierten Angreifer die Ausführung beliebigen Programmcodes, die Eskalation seiner Privilegien und verschiedene Cross-Site-Scripting (XSS)-Angriffe.

Microsoft hat im Rahmen des Patchtags im November 2018 Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung gestellt. Im Zuge des Patchtags im Februar 2019 wurde hier eine weitere Schwachstelle ergänzt (CVE-2018-8654), die vom Hersteller als 'kritisch' eingestuft wird. Die Schwachstellen können im Microsoft Security Update Guide über die Kategorie 'Microsoft Dynamics' und das Produkt 'Microsoft Dynamics 365 (on-premises) version 8' identifiziert werden.

Microsoft veröffentlicht gleichzeitig eine Beschreibung der Schwachstelle CVE-2019-0745 in Microsoft Dynamics 365 (Privilegieneskalation). Informationen zu betroffenen Versionen und Sicherheitsupdates sind nicht verfügbar.

Schwachstellen:

CVE-2018-8605 CVE-2018-8606 CVE-2018-8607 CVE-2018-8608

Schwachstellen in Microsoft Dynamics 365 ermöglichen Cross-Site-Scripting-Angriffe

CVE-2018-8609

Schwachstelle in Microsoft Dynamics 365 ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-8654

Schwachstelle in Microsoft Dynamics 365 ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.