Azure SFX 漏洞可能允许攻击者获得管理员访问权限
网络安全研究人员分享了有关 Azure 服务结构资源管理器 (SFX) 中现已修补的安全漏洞的详细信息,该漏洞可能使攻击者获得群集上的管理员权限。
网络安全研究人员分享了有关 Azure 服务结构资源管理器 (SFX) 中现已修补的安全漏洞的详细信息,该漏洞可能使攻击者获得群集上的管理员权限。
该漏洞被跟踪为 CVE-2022-35829,CVSS 评分 6.2,微软上周在周二补丁更新中解决了该漏洞。
Orca Security 于 2022 年 8 月 11 日发现并向科技巨头报告了该漏洞,称其为 FabriXss(发音为 “fabrics”)。它会影响 Azure 结构资源管理器 8.1.316 及更早版本。
该漏洞的根源在于,具有通过 SFX 客户端 “创建撰写应用程序” 权限的用户可以利用这些权限创建恶意应用程序,并滥用 “应用程序名称” 字段中存储的跨站点脚本 (XSS) 漏洞来传递有效负载。
利用此漏洞,攻击者可以在应用程序创建步骤中发送特制输入,最终导致其执行。
Orca Security 研究人员 Lidor Ben Shitrit 和 Roee Sagi 说:“这包括执行群集节点重置,删除所有自定义设置,如密码和安全配置,允许攻击者创建新密码并获得完全的管理员权限。”
该漏洞被跟踪为 CVE-2022-35829,CVSS 评分 6.2,微软上周在周二补丁更新中解决了该漏洞。
Orca Security 于 2022 年 8 月 11 日发现并向科技巨头报告了该漏洞,称其为 FabriXss(发音为 “fabrics”)。它会影响 Azure 结构资源管理器 8.1.316 及更早版本。
该漏洞的根源在于,具有通过 SFX 客户端 “创建撰写应用程序” 权限的用户可以利用这些权限创建恶意应用程序,并滥用 “应用程序名称” 字段中存储的跨站点脚本 (XSS) 漏洞来传递有效负载。
利用此漏洞,攻击者可以在应用程序创建步骤中发送特制输入,最终导致其执行。
Orca Security 研究人员 Lidor Ben Shitrit 和 Roee Sagi 说:“这包括执行群集节点重置,删除所有自定义设置,如密码和安全配置,允许攻击者创建新密码并获得完全的管理员权限。”
关于作者
评论0次