Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2020-1439

Опубликовано: 14 июл. 2020
Источник: msrc
EPSS Средний

Уязвимость удаленного выполнения кода в PerformancePoint Services из-за отсутствия проверки источника XML-разметки

Описание

Злоумышленник, успешно эксплуатировавший уязвимость, способен выполнить произвольный код в контексте процесса, ответственного за десериализацию XML-содержимого.

Условия эксплуатации

Для эксплуатации этой уязвимости злоумышленнику необходимо загрузить специально созданный документ на сервер, использующий уязвимый продукт для обработки содержимого.

Решение

Обновление безопасности устраняет уязвимость путем корректировки проверки PerformancePoint Services источника разметки XML-содержимого.

Часто задаваемые вопросы (FAQ)

Где проявляется эта уязвимость?

Уязвимость обнаружена в типах DataSet и DataTable, которые являются компонентами .NET, используемыми для управления наборами данных.

Где я могу найти дополнительные рекомендации для разработчиков по безопасному использованию типов DataSet или DataTable?

Обновленные рекомендации по безопасности можно найти на MSDN по следующей ссылке.

Какие обновления необходимо установить, чтобы полностью защитить мою систему от этой уязвимости?

Полная защита требует установки обновления .NET Framework, а также обновлений для любых дополнительных указанных в статье продуктов.

Обновления

ПродуктСтатьяОбновление
Microsoft SharePoint Server 2010 Service Pack 2
4484374
Security Update
Microsoft SharePoint Foundation 2013 Service Pack 1
44844484484411
Security UpdateSecurity Update
Microsoft SharePoint Enterprise Server 2016
44844364484440
Security UpdateSecurity Update
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
44844434484353
Security UpdateSecurity Update
Microsoft SharePoint Server 2019
44844534484451
Security UpdateSecurity Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 97%
0.31155
Средний

Связанные уязвимости

nvd логотип

CVE-2020-1439

CVSS3: 8.8
nvd
больше 5 лет назад

A remote code execution vulnerability exists in PerformancePoint Services for SharePoint Server when the software fails to check the source markup of XML file input, aka 'PerformancePoint Services Remote Code Execution Vulnerability'.

github логотип

GHSA-7vrg-q6mv-3q9x

github
больше 3 лет назад

A remote code execution vulnerability exists in PerformancePoint Services for SharePoint Server when the software fails to check the source markup of XML file input, aka 'PerformancePoint Services Remote Code Execution Vulnerability'.

fstec логотип

BDU:2020-03509

CVSS3: 9.8
fstec
больше 5 лет назад

Уязвимость службы PerformancePoint Services пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Foundation, Microsoft SharePoint Enterprise Server позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 97%
0.31155
Средний