Уязвимость спуфинга в Microsoft Power BI Report Server из-за некорректной верификации типа контента загружаемых вложений
Описание
Аутентифицированный злоумышленник способен использовать уязвимость, загружая специально сформированный пакет данных и отправляя его пользователю. Злоумышленник, успешно эксплуатировавший эту уязвимость, способен выполнять действия и запускать скрипты в контексте безопасности пользователя.
Решение
Это обновление безопасности устраняет уязвимость, гарантируя корректную верификацию Power BI Report Server типа контента вложений при загрузке и открытии.
Часто задаваемые вопросы (FAQ)
Какая версия Power BI включает в себя данную уязвимость?
- Уязвимость содержится в релизе Power BI за май 2019 года, версия 1.5.7074.36177 (Build 15.0.1102.371).
- Уязвимость была устранена в релизе за сентябрь 2019 года, версия 1.6.7236.4246 (Build 15.0.1102.646).
- Наиболее актуальная версия Power BI — релиз за январь 2020 года, сборка 15.0.1102.777.
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
A spoofing vulnerability exists in Microsoft Power BI Report Server in the way it validates the content-type of uploaded attachments, aka 'Microsoft Power BI Report Server Spoofing Vulnerability'.
A spoofing vulnerability exists in Microsoft Power BI Report Server in the way it validates the content-type of uploaded attachments, aka 'Microsoft Power BI Report Server Spoofing Vulnerability'.
Уязвимость сервера отчетов Power BI, связанная с ошибками представления информации пользовательским интерфейсом, позволяющая нарушителю проводить спуфинг атаки
EPSS