发布日期：2019-07-30
更新日期：2019-07-30

受影响系统：

Microsoft Team Foundation Server 2018 Update 3.2
Microsoft Team Foundation Server 2018 Update 1.2
Microsoft Team Foundation Server 2017 Update 3.1
Microsoft Team Foundation Server 2015 Update 4.2
Microsoft Team Foundation Server 2013 Update 5
Microsoft Team Foundation Server 2012 Update 4
Microsoft Team Foundation Server 2010 SP1
Microsoft Azure DevOps Server 2019.0.1

描述：

---

BUGTRAQ  ID: 108933
CVE(CAN) ID: CVE-2019-1072

Microsoft Team Foundation Server和Microsoft Azure DevOps Server都是美国Microsoft公司的产品。Microsoft Team Foundation Server是一套应用程序生命周期管理（ALM）工具套件中的团队协作平台，具有代码管理、项目管理等功能。Microsoft Azure DevOps Server是一套软件开发协作工具，具有共享代码、工作跟踪和软件发布等功能。
Microsoft Azure DevOps Server 2019.0.1版本和Team Foundation Server 2018 Update 3.2、2018 Update 1.2、2017 Update 3.1、2015 Update 4.2、2013 Update 5、2012 Update 4和2010 SP1版本中存在远程代码执行漏洞，该漏洞源于未正确处理用户输入。攻击者可利用该漏洞在DevOps或TFS服务帐户的上下文中执行任意代码。

<*来源：Microsoft
  
  链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1072
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（CVE-2019-1072）以及相应补丁:
CVE-2019-1072：CVE-2019-1072 | Azure DevOps Server and Team Foundation Server Remote Code Execution Vulnerability
链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1072

补丁下载：

浏览次数：1280
严重程度：0（网友投票）