Vulnérabilités dans Microsoft SharePoint

De multiples vulnérabilités sur Microsoft SharePoint ont été révélées par Microsoft à l’occasion du Patch Tuesday du mois d’avril 2020. Peu de détails techniques ont été dévoilés mais 5 de ces vulnérabilités sont considérées comme critiques par l’éditeur.

CVE-2020-0920, CVE-2020-0929, CVE-2020-0931, CVE-2020-0932, CVE-2020-0974 [Score CVSS v3 : 8.8] : Il existe des vulnérabilités d’exécution de code à distance dans Microsoft SharePoint quand le logiciel ne parvient pas à vérifier le balisage source d’un package d’application. Un attaquant qui parviendrait à exploiter une de ces vulnérabilités pourrait provoquer une exécution de code arbitraire à distance.

Plusieurs autres sont considérées comme importantes par Microsoft :

CVE-2020-0923, CVE-2020-0924, CVE-2020-0925, CVE-2020-0926, CVE-2020-0930, CVE-2020-0933, CVE-2020-0973, CVE-2020-0978 [Score CVSS v3 : 5.4] : Il existe plusieurs vulnérabilités de type “cross-site scripting” (XSS) lorsque Microsoft SharePoint Server ne nettoie pas correctement une requête web spécialement conçue envoyée à un serveur SharePoint affecté. 

CVE-2020-0972, CVE-2020-0975, CVE-2020-0977 [Score CVSS v3 : 5.4] : Il existe des vulnérabilités d’usurpation d’identité quand Microsoft SharePoint Server ne nettoie pas correctement une requête web spécialement conçue envoyée à un serveur SharePoint concerné.