研究人员发现Microsoft Azure API管理服务中的3个漏洞

阅读量186556

|评论1

发布时间 : 2023-05-05 11:59:52

Microsoft Azure API管理服务中披露了三个新的安全漏洞,恶意行为者可能会滥用这些漏洞来访问敏感信息或后端服务。
据以色列云安全公司 Ermetic称,这包括两个服务器端请求伪造(SSRF)漏洞和一个API管理开发人员门户中的无限制文件上传功能实例:
通过滥用SSRF漏洞,攻击者可以从服务的CORS代理和托管代理本身发送请求,访问内部Azure资产,拒绝服务并绕过Web应用程序防火墙;通过文件上传路径遍历,攻击者可以将恶意文件上传到Azure托管的内部工作负载。
在Ermetic发现的两个SSRF漏洞中,其中一个是绕过 Microsoft为解决Orca今年早些时候报告的类似漏洞而实施的修复程序。
另一个漏洞存在于API管理代理功能中。利用SSRF缺陷可能会导致机密性和完整性丧失,从而使威胁行为者能够读取内部Azure资源并执行未经授权的代码。在开发人员门户中发现的路径遍历缺陷源于缺乏对上传文件的文件类型和路径的验证。
经过身份验证的用户可以利用此漏洞将恶意文件上传到开发人员门户服务器,甚至可能在底层系统上执行任意代码。经过负责任的披露,这三个漏洞都已被微软修复。

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/288526

安全客 - 有思想的安全新媒体

分享到:微信
+120赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66