Vulnerabilidad en la función search en la funcionalidad standard browser en Microsoft SharePoint Server (CVE-2020-1103)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
21/05/2020
Última modificación:
21/07/2021
Descripción
Se presenta una vulnerabilidad de divulgación de información donde determinados modos de la función search en Microsoft SharePoint Server son vulnerables a ataques de tipo cross-site search (una variante de cross-site request forgery, CSRF). Cuando los usuarios inician sesión simultáneamente en Microsoft SharePoint Server y visitan un página web maliciosa, el atacante puede, por medio de la funcionalidad standard browser, inducir al navegador a invocar consultas de búsqueda como el usuario registrado, también se conoce como "Microsoft SharePoint Information Disclosure Vulnerability".
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:microsoft:sharepoint_enterprise_server:2016:*:*:*:*:*:*:* | ||
cpe:2.3:a:microsoft:sharepoint_foundation:2013:sp1:*:*:*:*:*:* | ||
cpe:2.3:a:microsoft:sharepoint_server:2019:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página