Le applicazioni Web che utilizzano l'autenticazione delle attestazioni devono essere aggiornate (SharePoint Server)
SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
Nome della regola: Le applicazioni Web che utilizzano l'autenticazione delle attestazioni devono essere aggiornate.
ID evento: nessuno
Riepilogo: le applicazioni Web che utilizzano l'autenticazione basata su attestazioni rischiano una potenziale vulnerabilità di sicurezza che potrebbe consentire agli utenti di elevare i propri privilegi. I server Web che ospitano le applicazioni Web che utilizzano l'autenticazione basata su attestazioni sono potenzialmente vulnerabili.
Causa: questa situazione può presentarsi quando si distribuisce un'applicazione Web basata su Microsoft ASP.NET 2.0 in un sito Web ospitato in un server che esegue SharePoint Server e Internet Information Services (IIS) 7.0 o IIS 7.5 è in esecuzione in modalità integrata sul server.
Se si distribuiscono web part parzialmente attendibili o si creano elenchi esterni nel sito di SharePoint, tali web part o elenchi esterni potrebbero disporre di autorizzazioni superiori al necessario. Questo problema può determinare un rischio di sicurezza nel sito di SharePoint. Tali web part o elenchi esterni potrebbero ad esempio generare richieste di database o HTTP impreviste.
Questo problema si verifica a causa di una modifica nel componente di autenticazione ASP.NET 2.0. La modifica fa sì che le web part parzialmente attendibili o gli elenchi esterni impersonino l'account del pool di applicazioni. Di conseguenza, le web part dispongono dell'autorizzazione completa per accedere al sito di SharePoint.
Risoluzione: installare l'aggiornamento
- Per ulteriori informazioni su questo aggiornamento, vedere l'articolo della Knowledge Base 979917.