Podatność typu command injection w Microsoft Azure Cloud Shell pozwala nieuwierzytelnionemu atakującemu na wykonanie ataku spoofing przez sieć. Wysoki wynik CVSS (9.6) oraz brak wymaganych uprawnień sprawiają, że zagrożenie jest krytyczne.
▸ Pokaż oryginał (EN)
Improper neutralization of special elements used in a command ('command injection') in Azure Cloud Shell allows an unauthorized attacker to perform spoofing over a network.
Błąd polega na nieprawidłowej neutralizacji znaków specjalnych w danych wejściowych przekazywanych do poleceń systemowych (CWE-77). Atakujący, nakłaniając użytkownika do interakcji (UI:R), może przemycić złośliwe sekwencje poleceń, które zostaną wykonane w kontekście Azure Cloud Shell. Ze względu na zmieniony zakres ataku (S:C), skutki mogą wykraczać poza bezpośrednio atakowany komponent.
Atakujący może przeprowadzić atak spoofing, potencjalnie naruszając poufność, integralność oraz dostępność zasobów w środowisku Azure Cloud Shell i powiązanych komponentach (wszystkie trzy wskaźniki ocenione jako HIGH w CVSS).
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-35428
Microsoft Azure Cloud Shell — dokładne wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HMicrosoft Azure Cloud Shell
APPMicrosoftwszystkie wersje
Powiązane podatności
SSRF w Microsoft Azure Cloud Shell umożliwia eskalację uprawnień
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server
RCE w Windows Server Update Service (WSUS) — deserializacja danych
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty