2019-0731: Team Foundation Server, Azure DevOps Server: Mehrere Schwachstellen ermöglichen u. a. die Durchführung von Cross-Site-Scripting (XSS)-Angriffen

Historie:

Version 1 (2019-04-10 17:02)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Microsoft

Beschreibung:

Mehrere Schwachstellen im Team Foundation Server und Azure DevOps Server ermöglichen einem entfernten, einfach authentifizierten Angreifer das Durchführen von Cross-Site-Scripting (XSS)-Angriffen, das Darstellen falscher Informationen und in einem Fall die Eskalation von Privilegien. Die Schwachstellen können zumeist mittels einer speziell präparierte Nutzlast, die an einen Team Foundation Server oder Azure DevOps Server gesendet wird, ausgenutzt werden.

Microsoft stellt im Rahmen des aktuellen April Patchtages Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Development Tools' und das Produkt 'Team Foundation Server' bzw. 'Azure DevOps Server' identifiziert werden.

Schwachstellen:

CVE-2019-0857

Schwachstelle in Azure DevOps Server ermöglicht Darstellen falscher Informationen

CVE-2019-0866 CVE-2019-0867 CVE-2019-0868 CVE-2019-0870 CVE-2019-0871

Schwachstellen in Team Foundation Server und Azure DevOps Server ermöglichen Cross-Site-Scripting-Angriffe

CVE-2019-0869

Schwachstelle in Azure DevOps Server ermöglicht Darstellen falscher Informationen

CVE-2019-0874

Schwachstelle in Azure DevOps Server ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-0875

Schwachstelle in Azure DevOps Server ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.