发布日期：2019-05-14
更新日期：2019-05-17

受影响系统：

Microsoft Azure DevOps Server 2019

描述：

---

BUGTRAQ  ID: 108205
CVE(CAN) ID: CVE-2019-0971

Microsoft Azure DevOps Server是美国微软（Microsoft）公司的一套软件开发协作工具。该产品包括共享代码、工作跟踪和软件发布等功能。Team Foundation Server是Microsoft产品，提供源代码管理、报告、需求管理、项目管理、自动构建、实验室管理、测试及发布管理功能。
当Microsoft Azure DevOps Server和Team Foundation Server未正确清理受影响服务器的特制身份验证请求时，存在信息泄露漏洞。成功利用此漏洞的攻击者可能会在存在漏洞的服务器上执行恶意代码。
要利用此漏洞，经过身份验证的攻击者需要创建专门用于引发服务器端请求的页面。然后，攻击者会发送一条特制的消息，来执行服务器端请求伪造攻击。

<*来源：Paolo Giai Polict
  
  链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0971
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（CVE-2019-0971）以及相应补丁:
CVE-2019-0971：Azure DevOps Server and Team Foundation Server Information Disclosure Vulnerability
链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0971

补丁下载：

浏览次数：1046
严重程度：0（网友投票）