Czy deserializacja XML-a w .NET jest niebezpieczna? Microsoft załatał podatność w Sharepoint dającą dostęp na serwer(y)

Deserializacja danych od użytkownika prawie zawsze kończy się tragicznie (czy to Java, czy PHP czy Python) – czyli można w nieautoryzowany sposób wykonać dowolny kod w systemie operacyjnym. Podobnie jest w .NET przy czym warto pamiętać że deserializacja może być realizowana na ‘zwykłych’ XML-ach czy JSON-ach.

Microsoft załatał tego typu podatność w Sharepoincie (wykorzystanie deserializacji z XML) w lutym 2019, ale coś poszło nie tak i potrzebny był kolejny patch, wydany 12 marca. Załatane produkty to:

• Microsoft SharePoint Enterprise Server 2016
• Microsoft SharePoint Foundation 2013 Service Pack 1
• Microsoft SharePoint Server 2010 Service Pack 2
• Microsoft SharePoint Server 2019

więc jak widać, podatność prawdopodobnie istniała w Sharepoincie dłuuuugo.

Czy wykorzystanie luki wymaga posiadania konta w Sharepoint, według tej informacji – nie: Privileges Required (PR): None.

–ms