发布日期：2019-05-14
更新日期：2019-05-17

受影响系统：

Microsoft Azure DevOps Server 2019

描述：

---

BUGTRAQ  ID: 108206
CVE(CAN) ID: CVE-2019-0979

Microsoft Azure DevOps Server是美国微软（Microsoft）公司的一套软件开发协作工具。该产品包括共享代码、工作跟踪和软件发布等功能。Team Foundation Server是Microsoft产品，提供源代码管理、报告、需求管理、项目管理、自动构建、实验室管理、测试及发布管理功能。
当Azure DevOps Server和Team Foundation Server未正确清理用户提供的输入时，存在跨站脚本（XSS）漏洞。经过身份验证的攻击者可以通过向Azure DevOps Server或Team Foundation Server发送特制的有效负载来利用此漏洞，每当用户访问受感染的页面时，该服务器都将在用户的上下文中执行该有效负载。

成功利用此漏洞的攻击者可对受影响的系统执行跨站点脚本攻击，并在当前用户的安全上下文中运行脚本。攻击允许攻击者越权读取内容、执行恶意代码、并使用受害者的身份代表用户在网站上执行操作，例如更改权限和删除内容。

<*来源：Paolo Giai Polict
  
  链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0979
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（CVE-2019-0979）以及相应补丁:
CVE-2019-0979：Azure DevOps Server and Team Foundation Server Cross-site Scripting Vulnerability
链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0979

补丁下载：

浏览次数：1050
严重程度：0（网友投票）