Microsoft Azure DevOps Server 2019 Update 1/2019 Update 1.1 erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.9 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Microsoft Azure DevOps Server 2019 Update 1/2019 Update 1.1 gefunden. Sie wurde als problematisch eingestuft. Hiervon betroffen ist ein unbekannter Codeblock. Durch Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-2020-1327 geführt. Ein Angriff ist aus der Distanz möglich. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird Patching empfohlen.
Details
Eine problematische Schwachstelle wurde in Microsoft Azure DevOps Server 2019 Update 1/2019 Update 1.1 (Cloud Software) gefunden. Hierbei geht es um ein unbekannter Ablauf. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-74. Die Auswirkungen sind bekannt für die Integrität. Die Zusammenfassung von CVE lautet:
A spoofing vulnerability exists in Microsoft Azure DevOps Server when it fails to properly handle web requests, aka 'Azure DevOps Server HTML Injection Vulnerability'.Die Schwachstelle wurde am 09.06.2020 in Form eines bestätigten Security Update Guides (Website) herausgegeben. Das Advisory findet sich auf portal.msrc.microsoft.com. Eine Veröffentlichung wurde in Zusammenarbeit mit Microsoft angestrebt. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2020-1327 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1055 bezeichnet. Das Advisory weist darauf hin:
A spoofing vulnerability exists in Microsoft Azure DevOps Server when it fails to properly handle web requests. An attacker who successfully exploited the vulnerability could perform script or content injection attacks, and attempt to trick the user into disclosing sensitive information. An attacker could also redirect the user to a malicious website that could spoof content or the vulnerability could be used as a pivot to chain an attack with other vulnerabilities in web services.Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demzufolge sofort gehandelt.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.2VulDB Meta Temp Score: 5.1
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.1
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-74 / CWE-707 / CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Timeline
04.11.2019 🔍09.06.2020 🔍
09.06.2020 🔍
09.06.2020 🔍
22.10.2020 🔍
Quellen
Hersteller: microsoft.comAdvisory: portal.msrc.microsoft.com
Status: Bestätigt
Koordiniert: 🔍
CVE: CVE-2020-1327 (🔍)
GCVE (CVE): GCVE-0-2020-1327
GCVE (VulDB): GCVE-100-156299
Eintrag
Erstellt: 09.06.2020 20:22Aktualisierung: 22.10.2020 20:24
Anpassungen: 09.06.2020 20:22 (42), 09.06.2020 20:27 (17), 22.10.2020 20:24 (1)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.