Le applicazioni Web che utilizzano l'autenticazione delle attestazioni devono essere aggiornate (SharePoint Server)

SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365

Nome della regola: Le applicazioni Web che utilizzano l'autenticazione delle attestazioni devono essere aggiornate.

ID evento: nessuno

Riepilogo: le applicazioni Web che utilizzano l'autenticazione basata su attestazioni rischiano una potenziale vulnerabilità di sicurezza che potrebbe consentire agli utenti di elevare i propri privilegi. I server Web che ospitano le applicazioni Web che utilizzano l'autenticazione basata su attestazioni sono potenzialmente vulnerabili.

Causa: questa situazione può presentarsi quando si distribuisce un'applicazione Web basata su Microsoft ASP.NET 2.0 in un sito Web ospitato in un server che esegue SharePoint Server e Internet Information Services (IIS) 7.0 o IIS 7.5 è in esecuzione in modalità integrata sul server.

Se si distribuiscono web part parzialmente attendibili o si creano elenchi esterni nel sito di SharePoint, tali web part o elenchi esterni potrebbero disporre di autorizzazioni superiori al necessario. Questo problema può determinare un rischio di sicurezza nel sito di SharePoint. Tali web part o elenchi esterni potrebbero ad esempio generare richieste di database o HTTP impreviste.

Questo problema si verifica a causa di una modifica nel componente di autenticazione ASP.NET 2.0. La modifica fa sì che le web part parzialmente attendibili o gli elenchi esterni impersonino l'account del pool di applicazioni. Di conseguenza, le web part dispongono dell'autorizzazione completa per accedere al sito di SharePoint.

Risoluzione: installare l'aggiornamento

• Per ulteriori informazioni su questo aggiornamento, vedere l'articolo della Knowledge Base 979917.