Jump to content
  • Hello visitors, welcome to the Hacker World Forum!

    Red Team 1949  (formerly CHT Attack and Defense Team) In this rapidly changing Internet era, we maintain our original intention and create the best community to jointly exchange network technologies. You can obtain hacker attack and defense skills and knowledge in the forum, or you can join our Telegram communication group to discuss and communicate in real time. All kinds of advertisements are prohibited in the forum. Please register as a registered user to check our usage and privacy policy. Thank you for your cooperation.

    TheHackerWorld Official

研究人员详细说明了可能允许攻击者获得管理员访问权限的 Azure SFX 漏洞

 Share


HACK1949

Recommended Posts

xss.jpg

网络安全研究人员分享了有关 Azure Service Fabric Explorer (SFX) 中现已修补的安全漏洞的更多详细信息,该漏洞可能使攻击者能够获得集群的管理员权限。

该漏洞的编号为CVE-2022-35829,CVSS 严重等级为 6.2,微软上周在周二更新补丁中解决了该漏洞。

Orca Security于 2022 年 8 月 11 日发现并向科技巨头报告了该漏洞,并将漏洞称为FabriXss(发音为“fabrics”)。它会影响 Azure Fabric Explorer 版本 8.1.316 及更早版本。

SFX 被 Microsoft 描述为用于检查和管理Azure Service Fabric集群的开源工具,Azure Service Fabric集群是一个分布式系统平台,用于构建和部署基于微服务的云应用程序。

1.jpg

该漏洞的根源在于,有权通过 SFX 客户端“创建 Compose 应用程序”的用户可以利用该权限创建流氓应用程序并滥用“应用程序名称”字段中存储的跨站脚本 ( XSS ) 漏洞滑动有效载荷。

借助此漏洞,攻击者可以在应用程序创建步骤期间发送特制输入,最终导致其执行。

demo.gif

“这包括执行集群节点重置,它会删除所有自定义设置,例如密码和安全配置,允许攻击者创建新密码并获得完整的管理员权限,”Orca 安全研究人员 Lidor Ben Shitrit 和 Roee Sagi 说。

Link to post
Link to comment
Share on other sites

 Share

discussion group

discussion group

    You don't have permission to chat.
    • Recently Browsing   0 members

      • No registered users viewing this page.
    ×
    ×
    • Create New...