研究人员详细描述了Azure SFX缺陷，该缺陷允许攻击者获得管理员访问权限

网络安全研究人员分享了有关Azure Service Fabric Explorer（SFX）中一个现已修补的安全漏洞的更多详细信息，该漏洞可能使攻击者获得群集上的管理员权限。

该漏洞被追踪为CVE-22-35829，CVSS严重性评级为6.2，微软在上周的补丁周二更新中对此进行了处理。

Orca Security于2022年8月11日发现并向这家科技巨头报告了该漏洞，并将该漏洞命名为法布里克斯（发音为“fabrics”）。它影响Azure Fabric Explorer版本8.1.316及更早版本。

微软将SFX描述为一个用于检查和管理Azure Service Fabric集群的开源工具，这是一个分布式系统平台，用于构建和部署基于微服务的云应用程序。

该漏洞的根源在于，具有通过SFX客户端“创建合成应用程序”权限的用户可以利用该权限创建恶意应用程序，并滥用“应用程序名称”字段中存储的跨站点脚本（XSS）漏洞来泄漏有效载荷。

利用此漏洞，对手可以在应用程序创建步骤中发送精心编制的输入，最终导致其执行。

Orca安全研究人员Lidor Ben Shitrit和Roee Sagi表示：“这包括执行群集节点重置，清除所有自定义设置，如密码和安全配置，允许攻击者创建新密码并获得管理员的完全权限。”。