Microsoft Azure DevOps Server和Microsoft Team Foundation Server 安全漏洞

CNNVD-ID编号	CNNVD-202003-595	CVE编号	CVE-2020-0758
发布时间	2020-03-10	更新时间	2020-03-18
漏洞类型	其他	漏洞来源	Terry Zhang (@pnig0s)
危险等级	高危	威胁类型	远程
厂商	N/A

漏洞介绍

Microsoft Team Foundation Server和Microsoft Azure DevOps Server都是美国微软（Microsoft）公司的产品。Microsoft Team Foundation Server是一套应用程序生命周期管理（ALM）工具套件中的团队协作平台。该平台包括的代码管理、项目管理等功能。Microsoft Azure DevOps Server是一套软件开发协作工具。该产品包括共享代码、工作跟踪和软件发布等功能。

Microsoft Azure DevOps Server和Team Foundation Server中存在安全漏洞，该漏洞源于Azure DevOps Server和Team Foundation Services没有正确处理处理管道作业令牌。攻击者可利用该漏洞扩大对项目的访问权限。以下产品及版本受到影响：Azure DevOps Server 2019 Update 1版本，DevOps Server 2019 Update 1.1版本，DevOps Server 2019.0.1版本；Team Foundation Server 2017 Update 3.1版本，Team Foundation Server 2018 Update 1.2版本，Team Foundation Server 2018 Update 3.2 版本。

漏洞补丁

目前厂商已发布升级了Microsoft Azure DevOps Server和Microsoft Team Foundation Server 安全漏洞的补丁，Microsoft Azure DevOps Server和Microsoft Team Foundation Server 安全漏洞的补丁获取链接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0758