网络安全研究人员分享了有关Azure服务结构资源管理器 (SFX) 中现已修补的安全漏洞的详细信息,该漏洞可能使攻击者获得群集上的管理员权限。

该漏洞被跟踪为CVE-2022-35829,CVSS评分6.2,微软上周在周二补丁更新中解决了该漏洞。

Orca Security于2022年8月11日发现并向科技巨头报告了该漏洞,称其为FabriXss(发音为“fabrics”)。它会影响Azure结构资源管理器8.1.316及更早版本。

该漏洞的根源在于,具有通过SFX客户端“创建撰写应用程序”权限的用户可以利用这些权限创建恶意应用程序,并滥用“应用程序名称”字段中存储的跨站点脚本 (XSS) 漏洞来传递有效负载。

利用此漏洞,攻击者可以在应用程序创建步骤中发送特制输入,最终导致其执行。

Orca Security研究人员Lidor Ben Shitrit和Roee Sagi说:“这包括执行群集节点重置,删除所有自定义设置,如密码和安全配置,允许攻击者创建新密码并获得完全的管理员权限。”

信息安全 网络安全 漏洞
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接