发布日期：2019-06-20
更新日期：2019-06-27

受影响系统：

Microsoft Team Foundation Server 2018 Update 3.1
Microsoft Team Foundation Server 2018 Update 1.2
Microsoft Team Foundation Server 2017 Update 3.1
Microsoft Team Foundation Server
Microsoft Azure DevOps Server 2019

描述：

---

BUGTRAQ  ID: 107754
CVE(CAN) ID: CVE-2019-0870

Team Foundation Server（通常缩写为TFS）是Microsoft产品，提供源代码管理（Team Foundation Version Control或Git），报告，需求管理，项目管理（适用于敏捷软件开发和瀑布团队），自动构建，实验室管理，测试和发布管理功能。它涵盖整个应用程序生命周期，并支持DevOps功能。TFS可以作为众多的后端集成开发环境（IDE），但是适用于所有平台上的Microsoft Visual Studio和Eclipse。
当Azure DevOps Server和Team Foundation Server无法正确清理用户提供的输入（即“Azure DevOps Server和Team Foundation Server跨站点脚本漏洞”）时，存在跨站点脚本（XSS）漏洞。
攻击者可以利用此问题在受影响站点的上下文中在毫无戒心的用户的浏览器中执行任意脚本代码。这可以允许攻击者窃取基于cookie的身份验证凭据并发起其他攻击。

<*来源：Wesley Wineberg
  
  链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0870
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（CVE-2019-0870）以及相应补丁:
CVE-2019-0870：Azure DevOps Server and Team Foundation Server Cross-site Scripting Vulnerability
链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0870

补丁下载：

浏览次数：1247
严重程度：0（网友投票）