2020-2238: Microsoft Dynamics 365: Mehrere Schwachstellen ermöglichen u. a. eine Privilegieneskalation
Historie:
- Version 1 (2020-10-14 15:22)
- Neues Advisory
- Version 2 (2020-10-16 17:53)
- Microsoft hat seinen Sicherheitshinweis zu Schwachstelle CVE-2020-16943 aktualisiert, um darauf hinzuweisen, dass derzeit noch kein Sicherheitsupdate für Dynamics 365 Commerce verfügbar ist. Sobald dies der Fall ist, soll eine neuerliche Aktualisierung erfolgen, um Kunden zu informieren.
- Version 3 (2020-11-11 09:21)
- Microsoft hat seinen Sicherheitshinweis zu Schwachstelle CVE-2020-16943 aktualisiert, um darauf hinzuweisen, dass Sicherheitsupdates für Dynamics 365 Commerce verfügbar sind. Die Tabelle wurde aktualisiert, die betroffenen Versionen werden aufgelistet, und Kunden sollten die entsprechenden Updates installieren.
Betroffene Software
Middleware
Office
Betroffene Plattformen
Microsoft
Beschreibung:
Eine Schwachstelle in Microsoft Dynamics 365 Commerce ermöglicht einem Angreifer im benachbarten Netzwerk die Eskalation von Privilegien und in der Folge das unerlaubte Aktualisieren von Dateien. Zwei weitere Schwachstellen in Microsoft Dynamics 365 (On-Premise) ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten das Durchführen von Cross-Site-Scirpting (XSS)-Angriffen. Diese Angriffe erfordern die Interaktion eines Benutzers und können Einfluss auf weitere Komponenten betroffener Systeme haben.
Im Zuge des Microsoft Patchtages im Oktober 2020 stehen Sicherheitsupdates für Microsoft Dynamics 365 in Version 8.2 und 9.0 sowie für Microsoft Dynamics 365 Commerce zur Behebung der Schwachstellen bereit. Die Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Dynamics' identifiziert werden.
Schwachstellen:
CVE-2020-16943
Schwachstelle in Microsoft Dynamics 365 Commerce ermöglicht PrivilegieneskalationCVE-2020-16956 CVE-2020-16978
Schwachstellen in Microsoft Dynamics 365 ermöglichen Cross-Site-Scripting-Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.