CRITICAL✓ PATCH🇬🇧 English

CVE-2024-38220

Microsoft Azure Stack Hub — Elevation of Privilege (podatność krytyczna)

CVSS 9.0v3.1pub. 2024-09-10upd. 2024-09-17

Podatność w Microsoft Azure Stack Hub umożliwia uwierzytelnionemu atakującemu eskalację uprawnień w środowisku chmurowym. Ze względu na ocenę CVSS 9.0 i zakres wpływu obejmujący poufność, integralność oraz dostępność, stanowi poważne zagrożenie dla infrastruktury opartej na tym produkcie.

Pokaż oryginał (EN)

Azure Stack Hub Elevation of Privilege Vulnerability

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-284 (nieprawidłowa kontrola dostępu) pozwala atakującemu, który posiada już pewien poziom dostępu do systemu (uwierzytelniony użytkownik z niskimi uprawnieniami), na uzyskanie wyższych uprawnień. Wektor ataku wskazuje, że do wykorzystania podatności wymagana jest interakcja użytkownika (UI:R) oraz kontekst wykraczający poza pierwotny zakres (S:C — Scope Changed), co sugeruje możliwość wpływu na zasoby poza bezpośrednią sesją atakującego. Szczegółowy mechanizm techniczny nie został ujawniony w publicznym opisie producenta.

Skutki

Udane wykorzystanie podatności może pozwolić atakującemu na uzyskanie nieautoryzowanego dostępu do danych (wysoki wpływ na poufność), modyfikację zasobów lub konfiguracji (wysoki wpływ na integralność) oraz zakłócenie działania usług (wysoki wpływ na dostępność) w środowisku Azure Stack Hub.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacje opisane w Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38220. Zaleca się niezwłoczne zastosowanie aktualizacji oraz monitorowanie aktywności uprzywilejowanych kont w środowisku Azure Stack Hub.

Kogo dotyczy

Microsoft Azure Stack Hub — wersje wskazane w referencjach producenta (Microsoft Security Response Center)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Microsoft Azure Stack Hub

    APP
    Microsoft
    < 1.2311.1.22
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2021-38647CRITICAL9.8⚠ KEVten sam produkt

Open Management Infrastructure Remote Code Execution Vulnerability

CVE-2024-38108CRITICAL9.3PL ✓ten sam produkt

XSS/Spoofing w Microsoft Azure Stack Hub — krytyczna podatność

CVE-2021-38648HIGH7.8⚠ KEVten sam produkt

Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38649HIGH7.0⚠ KEVten sam produkt

Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38645HIGH7.8⚠ KEVten sam produkt

Open Management Infrastructure Elevation of Privilege Vulnerability