发布日期：2019-09-11
更新日期：2019-09-18

受影响系统：

Microsoft Team Foundation Server 2018 Update 3.2
Microsoft Team Foundation Server 2018 Update 1.2
Microsoft Team Foundation Server 2017 Update 3.1
Microsoft Team Foundation Server 2015 Update 4.2
Microsoft Azure DevOps Server 2019.0.1

描述：

---

CVE(CAN) ID: CVE-2019-1305

Microsoft Team Foundation Server是一套应用程序生命周期管理（ALM）工具套件中的团队协作平台。

Team Foundation Server 未正确过滤用户输入时在实现中存在跨站脚本漏洞。攻击者通过向 Team Foundation Server 发送经特殊设计的有效负载利用此漏洞，这样每当用户访问已入侵页面时，有效负载就会在用户上下文中执行。然后，成功利用此漏洞的攻击者可以在受影响系统上执行跨站脚本攻击，并在当前用户的安全上下文中运行脚本。借助这些攻击，攻击者可以阅读本来无权阅读的内容、执行恶意代码、使用受害者的身份代表用户在网站上执行操作（如更改权限和删除内容）。

<*来源：Mateusz Garncarek
  *>

建议：

---

厂商补丁：

Microsoft
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1305

浏览次数：1504
严重程度：0（网友投票）