Podatność w Microsoft Azure Stack Hub umożliwia uwierzytelnionemu atakującemu eskalację uprawnień w środowisku chmurowym. Ze względu na ocenę CVSS 9.0 i zakres wpływu obejmujący poufność, integralność oraz dostępność, stanowi poważne zagrożenie dla infrastruktury opartej na tym produkcie.
▸ Pokaż oryginał (EN)
Azure Stack Hub Elevation of Privilege Vulnerability
Podatność sklasyfikowana jako CWE-284 (nieprawidłowa kontrola dostępu) pozwala atakującemu, który posiada już pewien poziom dostępu do systemu (uwierzytelniony użytkownik z niskimi uprawnieniami), na uzyskanie wyższych uprawnień. Wektor ataku wskazuje, że do wykorzystania podatności wymagana jest interakcja użytkownika (UI:R) oraz kontekst wykraczający poza pierwotny zakres (S:C — Scope Changed), co sugeruje możliwość wpływu na zasoby poza bezpośrednią sesją atakującego. Szczegółowy mechanizm techniczny nie został ujawniony w publicznym opisie producenta.
Udane wykorzystanie podatności może pozwolić atakującemu na uzyskanie nieautoryzowanego dostępu do danych (wysoki wpływ na poufność), modyfikację zasobów lub konfiguracji (wysoki wpływ na integralność) oraz zakłócenie działania usług (wysoki wpływ na dostępność) w środowisku Azure Stack Hub.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacje opisane w Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38220. Zaleca się niezwłoczne zastosowanie aktualizacji oraz monitorowanie aktywności uprzywilejowanych kont w środowisku Azure Stack Hub.
Microsoft Azure Stack Hub — wersje wskazane w referencjach producenta (Microsoft Security Response Center)
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:HMicrosoft Azure Stack Hub
APPMicrosoft< 1.2311.1.22
Powiązane podatności
Open Management Infrastructure Remote Code Execution Vulnerability
XSS/Spoofing w Microsoft Azure Stack Hub — krytyczna podatność
Open Management Infrastructure Elevation of Privilege Vulnerability
Open Management Infrastructure Elevation of Privilege Vulnerability
Open Management Infrastructure Elevation of Privilege Vulnerability