2021-1717: Microsoft Dynamics: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-08-11 17:01)

Neues Advisory

Version 2 (2021-08-12 09:21)

Microsoft hat den Sicherheitshinweis zur Schwachstelle CVE-2021-34524 aktualisiert und Sicherheitsupdates zu deren Behebung für Microsoft Dynamics 365 (on-premises) Version 9.1 veröffentlicht. Der Knowledge Base Artikel KB4618809 stellt weitere Informationen und den Link zum Download des aktuellen Paketes bereit.

Betroffene Software

Middleware

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Die Cross-Site-Scripting-Schwachstellen erfordern die Interaktion eines Benutzers und können Einfluss auf andere Komponenten haben.

Microsoft veröffentlicht im Zuge des Patchtags im August 2021 Sicherheitsupdates für Dynamics 365 Business Central 2020 Release Wave 1, Release Wave 2 und Spring Update, Dynamics 365 9.0 und 9.1 (On-Premises), sowie Microsoft Dynamics NAV 2017 und 2018. Die Updates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Dynamics' identifiziert werden. Für die Schwachstelle CVE-2021-34524 steht noch kein Sicherheitsupdate für Microsoft Dynamics 9.1 (On-Premises) zur Verfügung.

Schwachstellen:

CVE-2021-34524

Schwachstelle in Microsoft Dynamics 365 ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-36946

Schwachstelle in Microsoft Dynamics Business Central / NAV ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-36950

Schwachstelle in Microsoft Dynamics 365 ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.