研究人员详细介绍了可能允许攻击者获得管理员访问的azure SFX缺陷
网络安全研究人员分享了更多关于Azure Service Fabric Explorer ( SFX )中现已修补的安全漏洞的详细信息,该漏洞可能使攻击者获得集群上的管理员权限。
该漏洞被追踪为CVE – 2022 – 35829,其CVSS严重性评级为6.2,并在上周的Patch周二更新中被微软处理。
Orca安全公司于2022年8月11日发现并报告了科技巨头的缺陷,被称为” Fabrixss (宣布’织物’) “。它会影响Azure Fabric Explorer 8.1.316及更高版本。
SFX被微软描述为一个开源工具,用于检查和管理Azure Service Fabric集群,这是一个分布式系统平台,用于构建和部署基于微服务的云应用程序。
该漏洞根源于具有通过SFX客户端” Create Compose Application “权限的用户可以利用该权限创建流氓应用程序,并滥用”应用程序名”字段中存储的跨站脚本( XSS )漏洞来删除负载。
利用该漏洞,敌手可以在应用程序创建阶段发送巧尽心思构建的输入,最终导致其执行。
Orca安全研究人员Lidor Ben希特里特和Roee Sagi说,这包括执行群集节点重置,删除所有自定义设置,如密码和安全配置,使攻击者能够创建新密码并获得完整的管理员权限。