Vulnerabilidades en Microsoft SharePoint Server podrían permitir la ejecución remota de código (2952166)
Publicado: 13 de mayo de 2014
Versión: 1.0
Información general
Resumen ejecutivo
Esta actualización de seguridad resuelve varias vulnerabilidades de las que se ha informado de forma privada en el software de servidor y productividad de Microsoft Office. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante autenticado envía contenido de página especialmente diseñado a un servidor de SharePoint de destino.
Esta actualización de seguridad se considera crítica para las ediciones compatibles de Microsoft SharePoint Server 2007, Microsoft SharePoint Server 2010, Microsoft SharePoint Server 2013, Microsoft Office Web Apps 2010, Microsoft Office Web Apps Server 2013, Microsoft SharePoint Services 3.0, Microsoft SharePoint Foundation 2010, Microsoft SharePoint Foundation 2013, Microsoft SharePoint Designer 2007, Microsoft SharePoint Designer 2010 y Microsoft SharePoint Designer 2013. Para obtener más información, vea la sección Software afectado y no afectado.
La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que SharePoint Server y las aplicaciones web sanean el contenido de página especialmente diseñado. Para obtener más información acerca de las vulnerabilidades, vea la subsección Preguntas más frecuentes (P+F) de la vulnerabilidad específica más adelante en este boletín.
Recomendación. Los clientes pueden configurar las actualizaciones automáticas para buscar en línea actualizaciones de Microsoft Update mediante el uso del servicio Microsoft Update. Los clientes que tienen habilitadas las actualizaciones automáticas y configuradas para buscar en línea actualizaciones de Microsoft Update normalmente no tienen que realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado las actualizaciones automáticas deben buscar las actualizaciones en Microsoft Update e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el artículo 294871 de Microsoft Knowledge Base.
Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización de seguridad manualmente, Microsoft recomienda que los clientes apliquen la actualización a la primera oportunidad con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update.
Nota para SharePoint Server Las herramientas de detección (como Microsoft Update, WSUS, MBSA, SMS y System Center Configuration Manager) se aplican a las implementaciones de Microsoft SharePoint Server de servidor individual. Las herramientas de detección no detectan la aplicabilidad de las actualizaciones en sistemas configurados como parte de una granja de servidores de SharePoint de múltiples sistemas. Para obtener las instrucciones recomendadas acerca de cómo aplicar actualizaciones a SharePoint Server, vea Implementar actualizaciones de software de SharePoint 2013.
Nota para Microsoft Office Web Apps Server 2013 La aplicación de las actualizaciones de Office Web Apps Server mediante el proceso de actualizaciones automáticas no se admite con Office Web Apps Server. Para obtener las instrucciones recomendadas acerca de cómo aplicar actualizaciones a Office Web Apps Server, vea Aplicar actualizaciones de software a Office Web Apps Server.
Artículo de Knowledge Base
- Artículo de Knowledge Base: 2952166
- Información sobre archivos: Sí
- Valores hash SHA1/SHA2: Sí
- Problemas conocidos: Sí
El software siguiente se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas. Para determinar el ciclo de vida del soporte técnico de su versión o edición de software, vea Ciclo de vida del soporte técnico de Microsoft.
Software afectado
Software de servidor de Microsoft
Software | Componente | Repercusión de seguridad máxima | Clasificación de gravedad acumulada | Actualizaciones reemplazadas |
Microsoft SharePoint Server 2007 | ||||
Microsoft SharePoint Server 2007 Service Pack 3 (ediciones de 32 bits) |
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versiones de 32 bits) | Ejecución remota de código | Crítica | 2760420 en MS13-067 |
Microsoft SharePoint Server 2007 Service Pack 3 (ediciones de 32 bits) |
SharePoint Server 2007 Service Pack 3 (ediciones de 32 bits) (dlcapp) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Server 2007 Service Pack 3 (ediciones de 32 bits) |
SharePoint Server 2007 Service Pack 3 (ediciones de 32 bits) (dlc) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Server 2007 Service Pack 3 (ediciones de 64 bits) |
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versiones de 64 bits) | Ejecución remota de código | Crítica | 2760420 en MS13-067 |
Microsoft SharePoint Server 2007 Service Pack 3 (ediciones de 64 bits) |
SharePoint Server 2007 Service Pack 3 (ediciones de 64 bits) (dlcapp) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Server 2007 Service Pack 3 (ediciones de 64 bits) |
SharePoint Server 2007 Service Pack 3 (ediciones de 64 bits) (dlc) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Server 2010 | ||||
Microsoft SharePoint Server 2010 Service Pack 1 |
Microsoft SharePoint Foundation 2010 Service Pack 1 (wss) | Ejecución remota de código | Crítica | 2810067 en MS13-067 |
Microsoft SharePoint Server 2010 Service Pack 2 |
Microsoft SharePoint Foundation 2010 Service Pack 2 (wss) | Ejecución remota de código | Crítica | 2810067 en MS13-067 |
Microsoft SharePoint Server 2010 Service Pack 1 |
Microsoft SharePoint Server 2010 Service Pack 1 (coreserver) | Ejecución remota de código | Crítica | 2817393 en MS13-067 |
Microsoft SharePoint Server 2010 Service Pack 2 |
Microsoft SharePoint Server 2010 Service Pack 2 (coreserver) | Ejecución remota de código | Crítica | 2817393 en MS13-067 |
Microsoft SharePoint Server 2013 | ||||
Microsoft SharePoint Server 2013 |
Microsoft SharePoint Foundation 2013 (sts) | Ejecución remota de código | Crítica | 2817315 en MS13-067 |
Microsoft SharePoint Server 2013 Service Pack 1 |
Microsoft SharePoint Foundation 2013 Service Pack 1 (sts) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Server 2013 |
Microsoft SharePoint Foundation 2013 (wssloc) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Server 2013 Service Pack 1 |
Microsoft SharePoint Foundation 2013 Service Pack 1 (wssloc) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Server 2013 |
Microsoft SharePoint Server 2013 (coreserverloc) | Ejecución remota de código | Crítica | 2850058 en MS13-100 |
Microsoft SharePoint Server 2013 Service Pack 1 |
Microsoft SharePoint Server 2013 Service Pack 1 (coreserverloc) | Ejecución remota de código | Crítica | Ninguna |
Microsoft Office Services y Web Apps
Software | Componente | Repercusión de seguridad máxima | Clasificación de gravedad acumulada | Actualizaciones reemplazadas |
Microsoft SharePoint Server 2010 | ||||
Microsoft SharePoint Server 2010 Service Pack 1 | Ejecución remota de código | Crítica | Ninguna | |
Microsoft SharePoint Server 2010 Service Pack 2 | Ejecución remota de código | Crítica | Ninguna | |
Microsoft SharePoint Server 2013 | ||||
Microsoft SharePoint Server 2013 |
Microsoft Project Server 2013 | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Server 2013 Service Pack 1 | Ejecución remota de código | Crítica | Ninguna | |
Microsoft Office Web Apps 2010 | ||||
Microsoft Office Web Apps 2010 Service Pack 1 | Ejecución remota de código | Crítica | 2878221 en MS14-017 | |
Microsoft Office Web Apps 2010 Service Pack 2 | Ejecución remota de código | Crítica | 2878221 en MS14-017 | |
Microsoft Office Web Apps 2013 | ||||
Microsoft Office Web Apps 2013 | Ejecución remota de código | Crítica | 2878219 en MS14-017 | |
Microsoft Office Web Apps 2013 Service Pack 1 |
Microsoft Office Web Apps Server 2013 Service Pack 1 | Ejecución remota de código | Crítica | 2878219 en MS14-017 |
Software de productividad
Software afectado | Repercusión de seguridad máxima | Clasificación de gravedad acumulada | Actualizaciones reemplazadas |
SDK de componentes de cliente de SharePoint Server 2013 | |||
SDK de componentes de cliente de SharePoint Server 2013 (versión de 32 bits) | Ejecución remota de código | Crítica | Ninguna |
SDK de componentes de cliente de SharePoint Server 2013 (versión de 64 bits) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2007 | |||
Microsoft SharePoint Designer 2007 Service Pack 3 (ewd) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2007 Service Pack 3 (spd) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2010 | |||
Microsoft SharePoint Designer 2010 Service Pack 1 (versiones de 32 bits) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2010 Service Pack 2 (versiones de 32 bits) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2010 Service Pack 1 (versiones de 64 bits) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2010 Service Pack 2 (versiones de 64 bits) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2013 | |||
Microsoft SharePoint Designer 2013 (versiones de 32 bits) (spdcore) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2013 Service Pack 1 (versiones de 32 bits) (spdcore) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2013 (versiones de 32 bits) (spd) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2013 Service Pack 1 (versiones de 32 bits) (spd) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2013 (versiones de 64 bits) (spdcore) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2013 Service Pack 1 (versiones de 64 bits) (spdcore) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2013 (versiones de 64 bits) (spd) | Ejecución remota de código | Crítica | Ninguna |
Microsoft SharePoint Designer 2013 Service Pack 1 (versiones de 64 bits) (spd) | Ejecución remota de código | Crítica | Ninguna |
Software no afectado
Software |
Microsoft Project Server 2007 Service Pack 3 (edición de 32 bits) |
Microsoft Project Server 2007 Service Pack 3 (edición de 64 bits) |
¿Por qué soluciona esta actualización varios problemas de vulnerabilidad de seguridad detectados?
Esta actualización aborda diversos puntos vulnerables porque las modificaciones necesarias para solucionar estos aspectos están ubicadas en archivos relacionados.
¿Por qué hay múltiples paquetes de actualización disponibles para parte del software afectado?
Las actualizaciones necesarias para corregir las vulnerabilidades descritas en este boletín se ofrecen en diferentes paquetes de actualización, tal como se indica en la tabla Software afectado debido al modelo de servicio por componentes para el software Microsoft Office y Microsoft SharePoint Server.
Hay múltiples paquetes de actualización disponibles para parte del software afectado. ¿Debo instalar todas las actualizaciones enumeradas en la tabla Software afectado para el software?
Sí. Los clientes deben aplicar todas las actualizaciones que se ofrecen para el software instalado en sus sistemas.
¿Debo instalar estas actualizaciones de seguridad en un orden concreto?
No. Las múltiples actualizaciones para una versión del software Microsoft Office o Microsoft SharePoint Server se pueden aplicar en cualquier orden.
Uso una versión anterior del software tratado en este boletín de seguridad. ¿Qué debo hacer?
El software afectado que se enumera en este boletín se ha probado para determinar las versiones que están afectadas. Otras versiones o ediciones han pasado su ciclo de vida del soporte técnico. Para obtener más información acerca del ciclo de vida del soporte técnico de los productos, visite el sitio web
Ciclo de vida del soporte técnico de Microsoft.
Los clientes que tengan esas versiones o ediciones anteriores del software deberían plantearse la migración a versiones con soporte técnico para evitar la exposición a vulnerabilidades. Para determinar el ciclo de vida del soporte técnico de su versión de software, vea Seleccionar un producto para obtener información acerca del ciclo de vida. Para obtener más información acerca de los Service Packs de estas versiones de software, vea Directiva de compatibilidad del ciclo de vida de los Service Packs.
Los clientes que requieran soporte técnico para el software anterior deben ponerse en contacto con su representante del equipo de cuentas de Microsoft, con su administrador técnico de cuentas o con el representante del socio de Microsoft apropiado para consultar las opciones de soporte personalizado disponibles. Los clientes sin un contrato Premier o Authorized pueden ponerse en contacto con su oficina de ventas local de Microsoft. Para obtener información de contacto, visite el sitio web de información en todo el mundo de Microsoft, seleccione el país en la lista Información de contacto y, a continuación, haga clic en Ir para ver una lista de números de teléfono. Cuando llame, diga que desea hablar con el administrador de ventas local de soporte técnico Premier. Para obtener más información, vea Preguntas más frecuentes de la directiva del ciclo de vida del soporte técnico de Microsoft.
En las siguientes clasificaciones de gravedad se supone la máxima repercusión posible de la vulnerabilidad. Para obtener información acerca de la probabilidad, en el plazo de 30 días después de la publicación de este boletín de seguridad, de la explotabilidad de la vulnerabilidad en relación con su clasificación de gravedad y repercusiones de seguridad, vea el índice de explotabilidad en el resumen del boletín de mayo. Para obtener más información, vea Índice de explotabilidad de Microsoft.
Software de servidor de Microsoft
Gravedad de la vulnerabilidad y repercusión de seguridad máxima del software afectado | ||||
Software afectado | Vulnerabilidad de contenido de página en SharePoint (CVE-2014-0251) | Vulnerabilidad de XSS en SharePoint (CVE-2014-1754) | Vulnerabilidad de contenido de página de las aplicaciones web (CVE-2014-1813) | Clasificación de gravedad acumulada |
Microsoft SharePoint Server 2007 | ||||
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versiones de 32 bits) | Crítica | No aplicable | No aplicable | Crítica |
SharePoint Server 2007 (ediciones de 32 bits) (dlcapp) | Crítica | No aplicable | No aplicable | Crítica |
SharePoint Server 2007 (ediciones de 32 bits) (dlc) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versiones de 64 bits) | Crítica | No aplicable | No aplicable | Crítica |
SharePoint Server 2007 (ediciones de 64 bits) (dlcapp) | Crítica | No aplicable | No aplicable | Crítica |
SharePoint Server 2007 (ediciones de 64 bits) (dlc) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Server 2010 | ||||
Microsoft SharePoint Foundation 2010 Service Pack 1 (wss) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Foundation 2010 Service Pack 2 (wss) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Server 2010 Service Pack 1 (coreserver) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Server 2010 Service Pack 2 (coreserver) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Server 2013 | ||||
Microsoft SharePoint Foundation 2013 (sts) | Crítica | Importante | No aplicable | Crítica |
Microsoft SharePoint Foundation 2013 (wssloc) | Crítica | Importante | No aplicable | Crítica |
Microsoft SharePoint Server 2013 (coreserverloc) | Crítica | Importante | No aplicable | Crítica |
Microsoft Office Services y Web Apps
Gravedad de la vulnerabilidad y repercusión de seguridad máxima del software afectado | ||||
Software afectado | Vulnerabilidad de contenido de página en SharePoint (CVE-2014-0251) | Vulnerabilidad de XSS en SharePoint (CVE-2014-1754) | Vulnerabilidad de contenido de página de las aplicaciones web (CVE-2014-1813) | Clasificación de gravedad acumulada |
Microsoft SharePoint Server 2010 | ||||
Microsoft Project Server 2010 Service Pack 1 | Crítica | No aplicable | No aplicable | Crítica |
Microsoft Project Server 2010 Service Pack 2 | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Server 2013 | ||||
Microsoft Project Server 2013 | Crítica | No aplicable | No aplicable | Crítica |
Microsoft Project Server 2013 Service Pack 1 | Crítica | No aplicable | No aplicable | Crítica |
Microsoft Office Web Apps 2010 | ||||
Microsoft Web Applications 2010 Service Pack 1 | Crítica | No aplicable | Crítica | Crítica |
Microsoft Web Applications 2010 Service Pack 2 | Crítica | No aplicable | Crítica | Crítica |
Microsoft Office Web Apps 2013 | ||||
Microsoft Office Web Apps Server 2013 | Crítica | Importante | No aplicable | Crítica |
Microsoft Office Web Apps Server 2013 Service Pack 1 | Crítica | Importante | No aplicable | Crítica |
Software de productividad
Gravedad de la vulnerabilidad y repercusión de seguridad máxima del software afectado | ||||
Software afectado | Vulnerabilidad de contenido de página en SharePoint (CVE-2014-0251) | Vulnerabilidad de XSS en SharePoint (CVE-2014-1754) | Vulnerabilidad de contenido de página de las aplicaciones web (CVE-2014-1813) | Clasificación de gravedad acumulada |
SDK de componentes de cliente de SharePoint Server 2013 | ||||
SDK de componentes de cliente de SharePoint Server 2013 (versión de 32 bits) | Crítica | Importante | No aplicable | Crítica |
SDK de componentes de cliente de SharePoint Server 2013 (versión de 64 bits) | Crítica | Importante | No aplicable | Crítica |
Microsoft SharePoint Designer | ||||
Microsoft SharePoint Designer 2007 Service Pack 3 (ewd) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Designer 2007 Service Pack 3 | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Designer 2010 Service Pack 1 (versiones de 32 bits) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Designer 2010 Service Pack 2 (versiones de 32 bits) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Designer 2010 Service Pack 1 (versiones de 64 bits) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Designer 2010 Service Pack 2 (versiones de 64 bits) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Designer 2013 (versiones de 32 bits) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Designer 2013 Service Pack 1 (versiones de 32 bits) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Designer 2013 (versiones de 64 bits) (spd) | Crítica | No aplicable | No aplicable | Crítica |
Microsoft SharePoint Designer 2013 Service Pack 1 (versiones de 64 bits) | Crítica | No aplicable | No aplicable | Crítica |
Existen vulnerabilidades de ejecución remota de código relacionadas en Microsoft SharePoint Server. Un atacante autenticado que aprovechara cualquiera de estas vulnerabilidades relacionadas podría ejecutar código arbitrario en el contexto de seguridad de la cuenta de servicio W3WP.
Para ver estas vulnerabilidades relacionadas como una entrada estándar en la lista de vulnerabilidades y exposiciones comunes, vea CVE-2014-0251.
Factores atenuantes
El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:
- Para aprovechar cualquiera de estas vulnerabilidades relacionadas, un atacante debe poder autenticarse en el sitio de SharePoint de destino. Tenga en cuenta que esto no es un factor atenuante si el sitio de SharePoint está configurado para permitir que los usuarios anónimos obtengan acceso al sitio. De forma predeterminada, el acceso anónimo no está permitido.
Soluciones provisionales
Microsoft no ha identificado soluciones provisionales para estas vulnerabilidades.
Preguntas más frecuentes
¿Cuál es el alcance de estas vulnerabilidades?
Se trata de vulnerabilidades de ejecución remota de código relacionadas.
¿Cuál es la causa de estas vulnerabilidades?
Cuando el contenido de página no se sanea correctamente, se producen condiciones por las que un atacante podría ejecutar código arbitrario en el contexto de seguridad de la cuenta de servicio W3WP.
¿Por qué se ha asignado un solo identificador de CVE a varias vulnerabilidades?
Aunque las vulnerabilidades se encuentren en varios componentes de Microsoft SharePoint Server, todas comparten el mismo problema subyacente y código relacionado. Las vulnerabilidades están agrupadas en un solo identificador de CVE que representa el problema subyacente.
¿Para qué puede usar un atacante estas vulnerabilidades?
Un atacante que aprovechara cualquiera de estas vulnerabilidades relacionadas podría ejecutar código arbitrario en el contexto de seguridad de la cuenta de servicio W3WP en el sitio de SharePoint de destino.
¿Cómo podría aprovechar un atacante las vulnerabilidades?
Un atacante autenticado podría intentar aprovechar cualquiera de estas vulnerabilidades relacionadas mediante el envío de contenido de página especialmente diseñado a un servidor de SharePoint.
¿Qué sistemas están más expuestos a las vulnerabilidades?
Los sistemas que ejecutan una versión afectada del servidor de SharePoint están más expuestos.
¿Cómo funciona esta actualización?
La actualización corrige estas vulnerabilidades relacionadas al modificar la forma en que SharePoint Server sanea el contenido de página especialmente diseñado.
En el momento de publicar este boletín de seguridad, ¿se habían divulgado de forma pública ya estas vulnerabilidades?
No. Microsoft recibió información acerca de estas vulnerabilidades relacionadas a través de una fuente de divulgación de vulnerabilidades coordinada.
En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaban usando estas vulnerabilidades?
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que estas vulnerabilidades relacionadas se hubieran usado para atacar a clientes.
Existe una vulnerabilidad de elevación de privilegios en Microsoft SharePoint Server. Un atacante que consiguiera aprovechar esta vulnerabilidad podría realizar ataques de scripts de sitios y ejecutar un script en el contexto del usuario que ha iniciado sesión.
Para ver esta vulnerabilidad como una entrada estándar en la lista de vulnerabilidades y exposiciones comunes, vea CVE-2014-1754.
Factores atenuantes
Microsoft no ha identificado factores atenuantes para esta vulnerabilidad.
Soluciones provisionales
Microsoft no ha identificado soluciones provisionales para esta vulnerabilidad.
Preguntas más frecuentes
¿Cuál es el alcance de esta vulnerabilidad?
Se trata de una vulnerabilidad de elevación de privilegios.
¿Cuál es la causa de esta vulnerabilidad?
La vulnerabilidad se debe a que SharePoint Server no realiza correctamente el saneamiento de una solicitud especialmente diseñada a un servidor de SharePoint afectado.
¿Para qué puede utilizar un atacante esta vulnerabilidad?
Un atacante que aprovechara esta vulnerabilidad podría leer el contenido para el que no tuviera autorización, usar la identidad de la víctima para realizar acciones en el sitio de SharePoint en nombre de la víctima, como cambiar los permisos y eliminar contenido, e insertar contenido malintencionado en el explorador de la víctima.
¿Cómo podría aprovechar un atacante la vulnerabilidad?
Un atacante autenticado podría aprovechar esta vulnerabilidad mediante el envío de una solicitud especialmente diseñada a un servidor de SharePoint afectado.
¿Qué sistemas están más expuestos a esta vulnerabilidad?
Los sistemas que ejecutan una versión afectada de SharePoint Server están más expuestos a esta vulnerabilidad.
¿Cómo funciona esta actualización?
La actualización corrige la vulnerabilidad al garantizar que SharePoint Server realiza correctamente el saneamiento de la entrada de usuario.
En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.
En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba utilizando esta vulnerabilidad?
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.
Existe una vulnerabilidad de ejecución remota de código en Microsoft Web Applications. Un atacante autenticado que aprovechara esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad de la cuenta de servicio W3WP.
Para ver esta vulnerabilidad como una entrada estándar en la lista de vulnerabilidades y exposiciones comunes, vea CVE-2014-1813.
Factores atenuantes
El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:
- Para aprovechar esta vulnerabilidad, un atacante debe poder autenticarse en el sitio de SharePoint de destino. Tenga en cuenta que esto no es un factor atenuante si el sitio de SharePoint está configurado para permitir que los usuarios anónimos obtengan acceso al sitio. De forma predeterminada, el acceso anónimo no está permitido.
Soluciones provisionales
Microsoft no ha identificado soluciones provisionales para esta vulnerabilidad.
Preguntas más frecuentes
¿Cuál es el alcance de esta vulnerabilidad?
Se trata de una vulnerabilidad de ejecución remota de código.
¿Cuál es la causa de esta vulnerabilidad?
Cuando el contenido de página no se sanea correctamente, se producen condiciones por las que un atacante podría ejecutar código arbitrario en el contexto de seguridad de la cuenta de servicio W3WP.
¿Para qué puede utilizar un atacante esta vulnerabilidad?
Un atacante que aprovechara la vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad de la cuenta de servicio W3WP en el sitio de SharePoint de destino.
¿Cómo podría aprovechar un atacante la vulnerabilidad?
Un atacante autenticado podría intentar aprovechar la vulnerabilidad mediante el envío de contenido de página especialmente diseñado a un servidor de SharePoint.
¿Qué sistemas están más expuestos a esta vulnerabilidad?
Los sistemas que ejecutan una versión afectada del servidor de SharePoint están más expuestos.
¿Cómo funciona esta actualización?
La actualización corrige la vulnerabilidad al modificar la forma en que las aplicaciones web afectadas sanean el contenido de página especialmente diseñado.
En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.
En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba utilizando esta vulnerabilidad?
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.
Hay disponibles varios recursos para ayudar a los administradores a implementar las actualizaciones de seguridad.
- Microsoft Baseline Security Analyzer (MBSA) permite a los administradores examinar sistemas remotos y locales para detectar las actualizaciones de seguridad que faltan y las configuraciones de seguridad incorrectas más comunes.
- Windows Server Update Services (WSUS), Systems Management Server (SMS) y System Center Configuration Manager ayudan a los administradores a distribuir las actualizaciones de seguridad.
- Los componentes del Evaluador de compatibilidad de aplicaciones incluidos con el kit de herramientas de compatibilidad de aplicaciones contribuyen a optimizar las pruebas y la validación de las actualizaciones de Windows en las aplicaciones instaladas.
Para obtener información acerca de estas y otras herramientas que hay disponibles, vea Herramientas de seguridad para profesionales de TI.
Nota para SharePoint Server Las herramientas de detección (como Microsoft Update, WSUS, MBSA, SMS y System Center Configuration Manager) se aplican a las implementaciones de Microsoft SharePoint Server de servidor individual. Las herramientas de detección no detectan la aplicabilidad de las actualizaciones en sistemas configurados como parte de una granja de servidores de SharePoint de múltiples sistemas. Para obtener las instrucciones recomendadas acerca de cómo aplicar actualizaciones a SharePoint Server, vea Implementar actualizaciones de software de SharePoint 2013.
Nota para Microsoft Office Web Apps Server 2013 La aplicación de las actualizaciones de Office Web Apps Server mediante el proceso de actualizaciones automáticas no se admite con Office Web Apps Server. Para obtener las instrucciones recomendadas acerca de cómo aplicar actualizaciones a Office Web Apps Server, vea Aplicar actualizaciones de software a Office Web Apps Server.
SharePoint Server 2007 (todas las ediciones) y Windows SharePoint Services 3.0 (todas las versiones)
Tabla de referencia
La tabla siguiente contiene la información de actualización de seguridad para este software.
Nombre de archivo de actualización de seguridad | Para Microsoft SharePoint Server 2007 (ediciones de 32 bits) y Microsoft Windows SharePoint Services 3.0 (ediciones de 32 bits): |
| Para Microsoft SharePoint Server 2007 (ediciones de 32 bits): |
| Para Microsoft SharePoint Server 2007 (ediciones de 64 bits) y Microsoft Windows SharePoint Services 3.0 (ediciones de 64 bits): |
| Para Microsoft SharePoint Server 2007 (ediciones de 64 bits): |
Parámetros de instalación | |
Requisito de reinicio | En algunos casos, esta actualización no requiere reiniciar el sistema. Sin embargo, si algún archivo necesario está en uso, habrá que reiniciar el sistema. Si se presenta este comportamiento, aparecerá un mensaje que aconseja reiniciar el sistema. |
Información sobre la eliminación | Esta actualización de seguridad no se puede quitar. |
Información sobre archivos | Para Microsoft SharePoint Server 2007 y Microsoft Windows SharePoint Services 3.0: |
| Para Microsoft SharePoint Server 2007: |
Comprobación de las claves del Registro | No aplicable |
SharePoint Server 2010 (todas las ediciones) y SharePoint Foundation 2010 (todas las versiones)
Tabla de referencia
La tabla siguiente contiene la información de actualización de seguridad para este software.
Nombre de archivo de actualización de seguridad | Para Microsoft SharePoint Server 2010 Microsoft SharePoint Foundation 2010: |
| Para Microsoft SharePoint Server 2010: |
Parámetros de instalación | |
Requisito de reinicio | En algunos casos, esta actualización no requiere reiniciar el sistema. Sin embargo, si algún archivo necesario está en uso, habrá que reiniciar el sistema. Si se presenta este comportamiento, aparecerá un mensaje que aconseja reiniciar el sistema. |
Información sobre la eliminación | Esta actualización de seguridad no se puede quitar. |
Información sobre archivos | Para Microsoft SharePoint Server 2010 Microsoft SharePoint Foundation 2010: |
| Para Microsoft SharePoint Server 2010: |
Comprobación de las claves del Registro | No aplicable |
SharePoint Server 2013 (todas las ediciones) y SharePoint Foundation 2013 (todas las versiones)
Tabla de referencia
La tabla siguiente contiene la información de actualización de seguridad para este software.
Nombre de archivo de actualización de seguridad | Para Microsoft SharePoint Server 2013 Microsoft SharePoint Foundation 2013: |
| Para Microsoft SharePoint Server 2013: |
Parámetros de instalación | |
Requisito de reinicio | En algunos casos, esta actualización no requiere reiniciar el sistema. Sin embargo, si algún archivo necesario está en uso, habrá que reiniciar el sistema. Si se presenta este comportamiento, aparecerá un mensaje que aconseja reiniciar el sistema. |
Información sobre la eliminación | Esta actualización de seguridad no se puede quitar. |
Información sobre archivos | Para Microsoft SharePoint Server 2013 Microsoft SharePoint Foundation 2013: |
| Para Microsoft SharePoint Server 2013: |
Comprobación de las claves del Registro | No aplicable |
Office Services y Office Web Apps 2010 (todas las versiones)
Tabla de referencia
La tabla siguiente contiene la información de actualización de seguridad para este software.
Nombre de archivo de actualización de seguridad | Para las versiones compatibles de Microsoft Project Server 2010: |
| Para las versiones compatibles de Microsoft Office Web App 2010: |
Parámetros de instalación | |
Requisito de reinicio | En algunos casos, esta actualización no requiere reiniciar el sistema. Sin embargo, si algún archivo necesario está en uso, habrá que reiniciar el sistema. Si se presenta este comportamiento, aparecerá un mensaje que aconseja reiniciar el sistema. |
Información sobre la eliminación | Esta actualización de seguridad no se puede quitar. |
Información sobre archivos | Para las versiones compatibles de Microsoft Project Server 2010: |
| Para las versiones compatibles de Microsoft Office Web App 2010: |
Comprobación de las claves del Registro | No aplicable |
Office Services y Office Web Apps Server 2013 (todas las versiones)
Tabla de referencia
La tabla siguiente contiene la información de actualización de seguridad para este software.
Nombre de archivo de actualización de seguridad | Para las versiones compatibles de Microsoft Project Server 2013: |
| Para las versiones compatibles de Microsoft Office Web Apps Server 2013: |
Parámetros de instalación | |
Requisito de reinicio | En algunos casos, esta actualización no requiere reiniciar el sistema. Sin embargo, si algún archivo necesario está en uso, habrá que reiniciar el sistema. Si se presenta este comportamiento, aparecerá un mensaje que aconseja reiniciar el sistema. |
Información sobre la eliminación | Esta actualización de seguridad no se puede quitar. |
Información sobre archivos | Para Microsoft Project Server 2013: |
| Para Microsoft Office Web Apps Server 2013: |
Comprobación de las claves del Registro | No aplicable |
SDK de componentes de cliente de SharePoint Server 2013 y SharePoint Designer (todas las ediciones)
Tabla de referencia
La tabla siguiente contiene la información de actualización de seguridad para este software.
Nombre de archivo de actualización de seguridad | SDK de componentes de cliente de SharePoint Server 2013 (versión de 32 bits): |
| SDK de componentes de cliente de SharePoint Server 2013 (versión de 64 bits): |
| Para Microsoft SharePoint Designer 2007: |
| Para Microsoft SharePoint Designer 2010 (versiones de 32 bits): |
| Para Microsoft SharePoint Designer 2010 (versiones de 64 bits): |
| Para Microsoft SharePoint Designer 2013 (versiones de 32 bits): |
| Para Microsoft SharePoint Designer 2013 (versiones de 64 bits): |
Parámetros de instalación | |
Requisito de reinicio | En algunos casos, esta actualización no requiere reiniciar el sistema. Sin embargo, si algún archivo necesario está en uso, habrá que reiniciar el sistema. Si se presenta este comportamiento, aparecerá un mensaje que aconseja reiniciar el sistema. |
Información sobre la eliminación | Esta actualización de seguridad no se puede quitar. |
Información sobre archivos | SDK de componentes de cliente de SharePoint Server 2013: |
| Para Microsoft SharePoint Designer 2007: |
| Para Microsoft SharePoint Designer 2010: |
| Para Microsoft SharePoint Designer 2013: |
Comprobación de las claves del Registro | No aplicable |
Microsoft Active Protections Program (MAPP)
Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, vaya a los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).
Soporte técnico
Cómo obtener ayuda y soporte técnico para esta actualización de seguridad
- Ayuda para instalar actualizaciones: Soporte de Microsoft Update
- Soluciones de seguridad para profesionales de TI: Soporte técnico y solución de problemas de seguridad de TechNet
- Ayuda para proteger su equipo con Windows de virus y malware: Solución antivirus y centro de seguridad
- Soporte local según su país: Soporte internacional
Renuncia
La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.
Revisiones
- V1.0 (13 de mayo de 2014): Publicación del boletín.
