可用

Azure SFX 漏洞可能允许攻击者获得管理员访问权限

  • 浏览次数 20164
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

微信截图_20221020095909

网络安全研究人员分享了有关Azure服务结构资源管理器 (SFX) 中现已修补的安全漏洞的详细信息,该漏洞可能使攻击者获得群集上的管理员权限。

该漏洞被跟踪为CVE-2022-35829,CVSS评分6.2,微软上周在周二补丁更新中解决了该漏洞。

Orca Security于2022年8月11日发现并向科技巨头报告了该漏洞,称其为FabriXss(发音为“fabrics”)。它会影响Azure结构资源管理器8.1.316及更早版本。

微软将SFX描述为用于检查和管理Azure服务结构群集的开源工具Azure服务结构群集是一个分布式系统平台,用于构建和部署基于微服务的云应用程序。
微信截图_20221020095954

该漏洞的根源在于,具有通过SFX客户端“创建撰写应用程序”权限的用户可以利用这些权限创建恶意应用程序,并滥用“应用程序名称”字段中存储的跨站点脚本 (XSS) 漏洞来传递有效负载。

利用此漏洞,攻击者可以在应用程序创建步骤中发送特制输入,最终导致其执行。

demo

Orca Security研究人员Lidor Ben Shitrit和Roee Sagi说:“这包括执行群集节点重置,删除所有自定义设置,如密码和安全配置,允许攻击者创建新密码并获得完全的管理员权限。”

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文