- Servidor CreateAttachmentFromUri.
- Servidor DownloadDataFromOfficeMarketPlace.
- Servidor DownloadDataFromUri.
- Clase ChainedSerializationBinder.
Piotr Bazydlo, de la iniciativa Trend Micro Zero Day, ha reportado 4 vulnerabilidades de severidad alta que permite a los atacantes remotos revelar información confidencial y ejecutar código arbitrario sobre las instalaciones afectadas de Microsoft Exchange.
La única estrategia de mitigación destacada es restringir la interacción con la aplicación.
El fallo que existe dentro del método CreateAttachmentFromUri, DownloadDataFromOfficeMarketPlace y DownloadDataFromUri se debe a la falta de validación adecuada de un URI antes de acceder a los recursos. Un atacante puede aprovechar esta vulnerabilidad para revelar información en el contexto del servidor Exchange.
El fallo que existe dentro de la clase ChainedSerializationBinder se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar la deserialización de datos que no son de confianza. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.