2024-0385: Microsoft Dynamics 365 (on-premises): Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2024-02-14 11:55)

Neues Advisory

Betroffene Software

Middleware

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Cross-Site-Scripting (XSS)-Angriffe durchzuführen und falsche Informationen darzustellen.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung aller Schwachstellen kann Einfluss auf andere Komponenten haben.

Microsoft veröffentlicht im Zuge des Patchtags im Februar 2024 Sicherheitsupdates für Dynamics 365 9.1 (On-Premises) und Customer Engagement sowie für Dynamics Business Central 2022 Release Wave 2, 2023 Release Wave 1 und 2023 Release Wave 2. Die Updates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Dynamics' identifiziert werden.

Schwachstellen:

CVE-2024-21327

Schwachstelle in Dynamics 365 Customer Engagement ermöglicht Cross-Site-Scripting-Angriff

CVE-2024-21328 CVE-2024-21396

Schwachstellen in Dynamics 365 Sales ermöglichen Darstellen falscher Informationen

CVE-2024-21380

Schwachstelle in Dynamics Business Central ermöglicht u. a. Privilegieneskalation

CVE-2024-21389 CVE-2024-21393

Schwachstellen in Dynamics 365 (on-premises) ermöglichen Cross-Site-Scripting-Angriffe

CVE-2024-21394

Schwachstelle in Dynamics 365 Field Service ermöglicht Cross-Site-Scripting-Angriff

CVE-2024-21395

Schwachstelle in Dynamics 365 (on-premises) ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.