Podatność klasy XSS (Cross-Site Scripting) w Microsoft Azure Stack Hub umożliwia atakującemu przeprowadzenie ataku spoofing z wysokim wpływem na poufność i integralność danych. Ocena CVSS 9.3 (Critical) wskazuje na poważne zagrożenie dla środowisk korzystających z tego produktu.
▸ Pokaż oryginał (EN)
Azure Stack Hub Spoofing Vulnerability
Podatność wymaga interakcji użytkownika (UI:R) i działa w kontekście zmienionym (S:C), co jest typowe dla ataków XSS — złośliwy skrypt wykonywany jest w kontekście przeglądarki ofiary. Atakujący nie potrzebuje żadnych uprawnień (PR:N) ani skomplikowanych warunków (AC:L), a wektor ataku jest sieciowy (AV:N), co oznacza możliwość przeprowadzenia ataku zdalnie przez Internet. Mechanizm spoofing może pozwalać na podszywanie się pod legalne zasoby lub interfejsy Azure Stack Hub.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych informacji (C:H) oraz zmodyfikować dane lub interfejs widziany przez użytkownika (I:H), co może prowadzić do kradzieży sesji, poświadczeń lub wykonania nieautoryzowanych akcji w imieniu ofiary.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38108). Zaleca się jak najszybsze wdrożenie aktualizacji opublikowanej przez Microsoft w ramach Patch Tuesday z sierpnia 2024 roku.
Microsoft Azure Stack Hub — wersje wskazane w referencjach producenta
Podatność opublikowana 2024-08-13 w ramach cyklu Patch Tuesday firmy Microsoft. Brak informacji o publicznym exploit oraz o dodaniu do CISA KEV.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:NMicrosoft Azure Stack Hub
APPMicrosoft< 1.2311.1.22
Powiązane podatności
Open Management Infrastructure Remote Code Execution Vulnerability
Microsoft Azure Stack Hub — Elevation of Privilege (podatność krytyczna)
Open Management Infrastructure Elevation of Privilege Vulnerability
Open Management Infrastructure Elevation of Privilege Vulnerability
Open Management Infrastructure Elevation of Privilege Vulnerability