Service Fabric Explorer (SFX) v1 Web 客户端潜在风险认知与指导
概要
微软近期发现了一个在特定条件下影响旧版Service Fabric Explorer (SFX)的跨站脚本(XSS)漏洞(CVE-2022-35829)。当前默认的SFX Web客户端(SFXv2)不受此漏洞影响。但用户可能手动从默认Web客户端(SFXv2)切换至老旧且存在漏洞的SFX Web客户端版本(SFXv1)。要利用此漏洞,攻击者需具备在Service Fabric集群上部署和执行代码的权限,且目标必须使用脆弱的Web客户端(SFXv1)。
目前微软尚未发现该漏洞被利用的案例。为保障安全,建议所有使用Service Fabric的客户升级至最新SFX版本,避免手动切换至老旧脆弱的SFXv1 Web客户端版本。在未来的SF版本中,微软计划移除SFXv1及切换至SFXv1的选项。
感谢Orca Security公司向我们报告此漏洞,并在协调漏洞披露(CVD)框架下与我们合作保护客户安全。
参考资料
- 有关CVE-2022-35829的详细信息,请参阅《安全更新指南》
- Azure Service Fabric产品博客
- Azure Service Fabric集群升级和更新步骤请参考:
Azure Service Fabric集群升级与更新 - 如有疑问,请通过aka.ms/azsupt在Azure门户中创建支持案例
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
![]( "办公AI智能小助手")
浙公网安备 33010602011771号