研究人员发现Microsoft Azure API管理服务中的3个漏洞
发布时间 : 2023-05-05 11:59:52
x译文声明
本文是翻译文章
译文仅供参考,具体内容表达以及含义原文为准。
Microsoft Azure API管理服务中披露了三个新的安全漏洞,恶意行为者可能会滥用这些漏洞来访问敏感信息或后端服务。据以色列云安全公司 Ermetic称,这包括两个服务器端请求伪造(SSRF)漏洞和一个API管理开发人员门户中的无限制文件上传功能实例:通过滥用SSRF漏洞,攻击者可以从服务的CORS代理和托管代理本身发送请求,访问内部Azure资产,拒绝服务并绕过Web应用程序防火墙;通过文件上传路径遍历,攻击者可以将恶意文件上传到Azure托管的内部工作负载。在Ermetic发现的两个SSRF漏洞中,其中一个是绕过 Microsoft为解决Orca今年早些时候报告的类似漏洞而实施的修复程序。另一个漏洞存在于API管理代理功能中。利用SSRF缺陷可能会导致机密性和完整性丧失,从而使威胁行为者能够读取内部Azure资源并执行未经授权的代码。在开发人员门户中发现的路径遍历缺陷源于缺乏对上传文件的文件类型和路径的验证。经过身份验证的用户可以利用此漏洞将恶意文件上传到开发人员门户服务器,甚至可能在底层系统上执行任意代码。经过负责任的披露,这三个漏洞都已被微软修复。
商务合作,文章发布请联系 anquanke@360.cn
本文转载自:
如若转载,请注明出处:
安全客 - 有思想的安全新媒体
分享到: 安全客 分享到:
发表评论
您还未登录,请先登录。
登录