Microsoft Teams Message cross site scripting
Una vulnerabilidad ha sido encontrada en Microsoft Teams (Unified Communication Software) y clasificada como crítica. Una función desconocida del componente Message Handler es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se genera una vulnerabilidad de clase cross site scripting. Esto tiene repercusión sobre la la integridad.
La vulnerabilidad fue publicada el 2020-12-07 (no está definido). El advisory puede ser descargado de github.com. La publicación se realizó con la cooperación del fabricante. Es fácil de explotar. El ataque puede ser realizado a través de la red. La explotación no requiere ninguna forma de autentificación. No son conocidos los detalles técnicos, pero hay un exploit público disponible.
Un exploit fue publicado e inmediatamente fue declarado como proof-of-concept. El exploit puede ser descargado de github.com.
No hay información respecto a posibles contramedidas. Se sugiere sustituir el producto con un equivalente.
Recursos afectados:
Type: Unified Communication Software
Proveedor: Microsoft
Name: Teams
CVSSv3
VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 4.2
VulDB Base Score: 4.3
VulDB Temp Score: 4.2
VulDB Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:X/RL:X/RC:R
VulDB Confiabilidad
Explotación
Clase: Cross site scripting
CWE: CWE-79
ATT&CK: T1059.007
Local: No
Remoto: Sí
Disponibilidad: Sí
Acceso: Público
Status: Proof-of-Concept
Download: github.com
Contramedidas
Recomendación: no contramedida conocida
0-Day Time: 0 días del descubrimiento
Fuentes
Proveedor: https://www.microsoft.com/
Advisory: github.com
Status: No está definido
scip Labs: https://www.scip.ch/en/?labs.20161013
https://vuldb.com/es/?id.165658