Conocimiento y orientación relacionados con el riesgo potencial del cliente web Service Fabric Explorer (SFX) v1: Centro de respuestas de seguridad de Microsoft

Resumen

Microsoft se enteró recientemente de una vulnerabilidad de Cross-Site Scripting (XSS) (CVE-2022-35829), que, en circunstancias limitadas, afecta a versiones anteriores de Support Fabric Explorer (SFX). El cliente net SFX predeterminado real (SFXv2) no es vulnerable a este ataque. Sin embargo, los clientes pueden cambiar manualmente del cliente world-wide-web predeterminado (SFXv2) a una versión anterior del cliente world wide web SFX susceptible (SFXv1). El problema requiere que un atacante ya tenga privilegios de implementación y ejecución de código en el clúster de Company Fabric y que el objetivo use el cliente web vulnerable (SFXv1).

En este momento, Microsoft no tiene conocimiento de ninguna explotación o abuso de esta vulnerabilidad. Para permanecer seguro, recomendamos a todos los clientes de Services Cloth mejora a la versión más reciente de SFX y absténgase de cambiar manualmente a la versión de cliente website SFXv1 más antigua y susceptible. Un próximo lanzamiento de SF eliminará SFXv1 y la opción de cambiar a él.

Agradecemos a Orca Security por informarnos de esta vulnerabilidad y trabajar con nosotros bajo Divulgación de vulnerabilidad coordinada para ayudar a proteger a nuestros clientes.

Referencias adicionales



Fuente del articulo