Vulnérabilités dans Microsoft Azure

Date de publication : 09/10/2020

Deux vulnérabilités ont été découvertes dans Microsoft Azure. Elles peuvent permettre à un attaquant de provoquer une exécution de code arbitraire à distance et une élévation de privilèges afin de prendre le contrôle du dépôt Azure App Services.

Pas de CVE attribuée [Score CVSS v3 : En cours de calcul] : Une vulnérabilité due à des identifiants codés en dur a été découverte dans le composant KuduLite utilisé par Azure App Services. Elle peut permettre à un attaquant de provoquer une élévation de privilèges.

Pas de CVE attribuée [Score CVSS v3 : En cours de calcul] : Une vulnérabilité due à des contrôles d’accès insuffisants a été découverte dans le composant KuduLite utilisé par Azure App Services. Elle peut permettre à un attaquant de provoquer une exécution de code arbitraire à distance via une attaque de type SSRF (server-side forgery request).

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exécution de code arbitraire
Elévation de privilèges

Criticité

Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

Des preuves de concept sont disponibles publiquement

Composants vulnérables

Microsoft Azure App Services

CVE

Pas de CVE attribuée

Solutions ou recommandations

Mise en place de correctifs de sécurité

Ces vulnérabilités ont été corrigées par l’éditeur Microsoft

Solution de contournement

Aucune solution de contournement

Liens

Kud I Enter Your Server? New Vulnerabilities in Microsoft Azure