Se han revelado más detalles sobre un conjunto de vulnerabilidades de secuencias de comandos entre sitios (XSS) ahora solucionadas en el Microsoft Azure HDInsight Servicio de análisis de código abierto que podría ser utilizado por un actor malicioso para llevar a cabo actividades maliciosas.
«Las vulnerabilidades identificadas consistían en seis vulnerabilidades XSS almacenadas y dos vulnerabilidades XSS reflejadas, cada una de las cuales podría explotarse para realizar acciones no autorizadas, que van desde el acceso a datos hasta el secuestro de sesiones y la entrega de cargas útiles maliciosas», dijo Lidor Ben Shitrit, investigador de seguridad. en Orca. dicho en un informe compartido con The Hacker News.
Microsoft abordó los problemas como parte de sus actualizaciones del martes de parches de agosto de 2023.
La divulgación se produce tres meses después de que se informaran fallas similares en Azure Bastion y Azure Container Registry que podrían haber sido explotadas para acceder y modificar datos no autorizados.
La lista de fallas es la siguiente:
- CVE-2023-35393 (Puntuación CVSS: 4,5): vulnerabilidad de robo de identidad en Azure Apache Hive
- CVE-2023-35394 (Puntuación CVSS: 4,6) – Vulnerabilidad de suplantación de portátil Jupyter en Azure HDInsight
- CVE-2023-36877 (Puntuación CVSS: 4,5) – Vulnerabilidad de robo de identidad en Azure Apache Oozie
- CVE-2023-36881 (Puntuación CVSS: 4,5) – Vulnerabilidad de robo de identidad en Azure Apache Ambari
- CVE-2023-38188 (Puntuación CVSS: 4,5) – Vulnerabilidad de robo de identidad en Azure Apache Hadoop
«Un atacante tendría que enviar a la víctima un archivo malicioso que la víctima tendría que ejecutar», señaló Microsoft en sus avisos de error. «Un atacante autorizado con privilegios de invitado debe enviar a la víctima un sitio malicioso y convencerla para que lo abra».
Los ataques XSS ocurren cuando un adversario inyecta scripts maliciosos en un sitio web legítimo, que luego se ejecutan en los navegadores web de las víctimas cuando visitan el sitio. Mientras que el XSS reflejado se dirige a los usuarios que son engañados para que hagan clic en un enlace fraudulento, el XSS almacenado está incrustado en una página web y afecta a todos los usuarios que acceden a ella.
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Reserva tu plaza ahora.
La compañía de seguridad en la nube dijo que todas las fallas se deben a la falta de una desinfección adecuada de la entrada, lo que permite que se muestren caracteres maliciosos al cargar el tablero.
«Estas debilidades en conjunto permiten que un atacante inyecte y ejecute scripts maliciosos cuando los datos almacenados se recuperan y se muestran a los usuarios», señaló Ben Shitrit, instando a las organizaciones a implementar la validación de entradas y la codificación de salidas adecuadas para «garantizar que los datos generados por los usuarios se limpien adecuadamente». » antes de ser mostrado en páginas web.»
«Defensor de los viajes extremos. Amante del café. Experto en tocino total. Wannabe tv pionero».
También te puede interesar
-
Intel emite una declaración oficial sobre la inestabilidad de la generación 14 y 13 y recomienda la configuración predeterminada de Intel
-
El nuevo modelo de IA de Microsoft podría desafiar a GPT-4 y Google Gemini
-
La serie Asus ExpertBook B3 se lanzó en India con opciones personalizables
-
Los usuarios pagos de YouTube se benefician de esta función impulsada por IA: esto es lo que hace
-
La función Jump Ahead impulsada por IA de YouTube ahora está disponible para más personas