研究人员发现Microsoft Azure API管理服务中的3个漏洞

阅读量218602

|评论1

发布时间 : 2023-05-05 11:59:52

Microsoft Azure API管理服务中披露了三个新的安全漏洞,恶意行为者可能会滥用这些漏洞来访问敏感信息或后端服务。
据以色列云安全公司 Ermetic称,这包括两个服务器端请求伪造(SSRF)漏洞和一个API管理开发人员门户中的无限制文件上传功能实例:
通过滥用SSRF漏洞,攻击者可以从服务的CORS代理和托管代理本身发送请求,访问内部Azure资产,拒绝服务并绕过Web应用程序防火墙;通过文件上传路径遍历,攻击者可以将恶意文件上传到Azure托管的内部工作负载。
在Ermetic发现的两个SSRF漏洞中,其中一个是绕过 Microsoft为解决Orca今年早些时候报告的类似漏洞而实施的修复程序。
另一个漏洞存在于API管理代理功能中。利用SSRF缺陷可能会导致机密性和完整性丧失,从而使威胁行为者能够读取内部Azure资源并执行未经授权的代码。在开发人员门户中发现的路径遍历缺陷源于缺乏对上传文件的文件类型和路径的验证。
经过身份验证的用户可以利用此漏洞将恶意文件上传到开发人员门户服务器,甚至可能在底层系统上执行任意代码。经过负责任的披露,这三个漏洞都已被微软修复。

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/288526

安全客 - 有思想的安全新媒体

分享到:微信
+122赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66