CRITICAL✓ PATCH🇬🇧 English

CVE-2024-38108

XSS/Spoofing w Microsoft Azure Stack Hub — krytyczna podatność

CVSS 9.3v3.1pub. 2024-08-13upd. 2024-08-16

Podatność klasy XSS (Cross-Site Scripting) w Microsoft Azure Stack Hub umożliwia atakującemu przeprowadzenie ataku spoofing z wysokim wpływem na poufność i integralność danych. Ocena CVSS 9.3 (Critical) wskazuje na poważne zagrożenie dla środowisk korzystających z tego produktu.

Pokaż oryginał (EN)

Azure Stack Hub Spoofing Vulnerability

🤖 Analiza AI
Jak działa

Podatność wymaga interakcji użytkownika (UI:R) i działa w kontekście zmienionym (S:C), co jest typowe dla ataków XSS — złośliwy skrypt wykonywany jest w kontekście przeglądarki ofiary. Atakujący nie potrzebuje żadnych uprawnień (PR:N) ani skomplikowanych warunków (AC:L), a wektor ataku jest sieciowy (AV:N), co oznacza możliwość przeprowadzenia ataku zdalnie przez Internet. Mechanizm spoofing może pozwalać na podszywanie się pod legalne zasoby lub interfejsy Azure Stack Hub.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych informacji (C:H) oraz zmodyfikować dane lub interfejs widziany przez użytkownika (I:H), co może prowadzić do kradzieży sesji, poświadczeń lub wykonania nieautoryzowanych akcji w imieniu ofiary.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38108). Zaleca się jak najszybsze wdrożenie aktualizacji opublikowanej przez Microsoft w ramach Patch Tuesday z sierpnia 2024 roku.

Kogo dotyczy

Microsoft Azure Stack Hub — wersje wskazane w referencjach producenta

Uwagi

Podatność opublikowana 2024-08-13 w ramach cyklu Patch Tuesday firmy Microsoft. Brak informacji o publicznym exploit oraz o dodaniu do CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Microsoft Azure Stack Hub

    APP
    Microsoft
    < 1.2311.1.22
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2021-38647CRITICAL9.8⚠ KEVten sam produkt

Open Management Infrastructure Remote Code Execution Vulnerability

CVE-2024-38220CRITICAL9.0PL ✓ten sam produkt

Microsoft Azure Stack Hub — Elevation of Privilege (podatność krytyczna)

CVE-2021-38648HIGH7.8⚠ KEVten sam produkt

Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38649HIGH7.0⚠ KEVten sam produkt

Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38645HIGH7.8⚠ KEVten sam produkt

Open Management Infrastructure Elevation of Privilege Vulnerability