Идентификатор: BDU:2022-07463.
Наименование уязвимости: Уязвимость интерфейса командной строки (CLI) платформы Microsoft Azure, позволяющая нарушителю выполнить произвольный код.
Описание уязвимости: Уязвимость интерфейса командной строки (CLI) платформы Microsoft Azure связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем Microsoft Corp. Azure CLI до 2.40.0 |
Наименование ОС и тип аппаратной платформы: Windows – |
Дата выявления: 08.11.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Использование рекомендаций:
https://github.com/Azure/azure-cli/security/advisories/GHSA-47xc-9rr2-q7p4
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-39327.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-39327.
Прочая информация: Уязвимость применима только в том случае, если команда Azure CLI запускается на компьютере с Windows и с любой версией PowerShell и, когда значение параметра содержит символы & или |. Если какое-либо из этих предварительных условий не выполнено, эта уязвимость неприменима.
Тип ошибки CWE: CWE-94
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-39327
https://github.com/Azure/azure-cli/security/advisories/GHSA-47xc-9rr2-q7p4
https://github.com/Azure/azure-cli/pull/24015
https://github.com/Azure/azure-cli/pull/23514
