Vigil@nce : Microsoft Office SharePoint, accès à l’interface d’administration
décembre 2008 par Vigil@nce
Un attaquant peut accéder à une partie de l’interface
d’administration de Microsoft Office SharePoint.
– Gravité : 2/4
– Conséquences : accès/droits privilégié
– Provenance : client intranet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 10/12/2008
PRODUITS CONCERNÉS
– Microsoft Office SharePoint Server
DESCRIPTION
L’accès à l’interface d’administration de Microsoft Office
SharePoint nécessite une authentification.
Cependant, une partie de cette interface ne demande pas
d’authentification.
Un attaquant peut donc employer une url directe afin de :
– surcharger le serveur
– obtenir des noms de chemin
– obtenir des adresses email
– créer des scripts s’exécutant dans le contexte du site.
CARACTÉRISTIQUES
– Références : 957175, BID-32638, CVE-2008-4032, MS08-077,
VIGILANCE-VUL-8309
– Url : http://vigilance.fr/vulnerabilite/8309