Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Investigadores descubren 3 vulnerabilidades en el servicio de administración de API de Microsoft Azure
  • Tecnología

Investigadores descubren 3 vulnerabilidades en el servicio de administración de API de Microsoft Azure

teknomers 4 de Mayıs de 2023 (Last updated: 4 de Mayıs de 2023) 3 minutes read
Investigadores descubren 3 vulnerabilidades en el servicio de administración de


04 de mayo de 2023Ravie LakshmanánGestión de API / Vulnerabilidad

Se han revelado tres nuevas fallas de seguridad en el servicio de administración de API de Microsoft Azure que podrían ser abusadas por actores maliciosos para obtener acceso a información confidencial o servicios de back-end.

Esto incluye dos fallas de falsificación de solicitud del lado del servidor (SSRF) y una instancia de funcionalidad de carga de archivos sin restricciones en el portal para desarrolladores de API Management, según la firma israelí de seguridad en la nube Ermetic.

“Al abusar de las vulnerabilidades de SSRF, los atacantes podrían enviar solicitudes desde el proxy CORS del servicio y el propio proxy de alojamiento, acceder a los activos internos de Azure, denegar el servicio y eludir los firewalls de aplicaciones web”, dijo la investigadora de seguridad Liv Matan en un comunicado. informe compartido con The Hacker News.

“Con el cruce de la ruta de carga de archivos, los atacantes podrían cargar archivos maliciosos en la carga de trabajo interna alojada de Azure”.

Azure API Management es una plataforma de gestión multinube que permite a las organizaciones exponer de forma segura sus API a clientes externos e internos y habilitar una amplia gama de experiencias conectadas.

La seguridad cibernética

De las dos fallas de SSRF identificadas por Ermetic, una de ellas es una omisión de una solución implementada por Microsoft para abordar una vulnerabilidad similar. avisado por orca a principios de este año. La otra vulnerabilidad reside en la función de proxy de API Management.

La explotación de fallas SSRF puede resultado en la pérdida de confidencialidad e integridad, lo que permite que un actor de amenazas leer recursos internos de Azure y ejecutar código no autorizado.

Servicio de administración de API de Microsoft Azure

La falla de ruta transversal descubierta en el portal de desarrolladores, por otro lado, se deriva de la falta de validación del tipo de archivo y la ruta de los archivos cargados.

Un usuario autenticado puede aprovechar esta laguna para cargar archivos maliciosos en el servidor del portal del desarrollador y potencialmente incluso ejecutar código arbitrario en el sistema subyacente.

PRÓXIMO SEMINARIO WEB

Aprenda a detener el ransomware con protección en tiempo real

Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.

Guardar mi asiento!

Después de la divulgación responsable, Microsoft ha reparado las tres fallas.

Los hallazgos se producen semanas después de que los investigadores de Orca detallaran que los atacantes podrían explotar una “falla de diseño” en Microsoft Azure para obtener acceso a las cuentas de almacenamiento, moverse lateralmente en el entorno e incluso ejecutar código remoto.

También sigue al descubrimiento de otra vulnerabilidad de Azure denominada EmojiDeploy que podría permitir a un atacante tomar el control de una aplicación objetivo.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Mercedes-Benz propone a pragmático chino para presidir junta de supervisión
Next: Legero United reestructura el equipo de liderazgo

Related Stories

Android 17: Google bloquea el ataque de fuerza bruta en
  • Tecnología

Android 17: Google bloquea el ataque de fuerza bruta en la pantalla de bloqueo

teknomers 2 de Temmuz de 2026
Xbox Helix: Microsoft prepara una consola sin reproductor de discos
  • Tecnología

Xbox Helix: Microsoft prepara una consola sin reproductor de discos

teknomers 2 de Temmuz de 2026
El francés Thales ayudará a Europa a asegurar los datos
  • Tecnología

El francés Thales ayudará a Europa a asegurar los datos ultra-sensibles de la defensa continental

teknomers 2 de Temmuz de 2026

You May Have Missed

  • General

El crecimiento de Europa se ve más afectado por las exportaciones de China que por un mayor déficit comercial, dice Goldman.

teknomers 2 de Temmuz de 2026
  • Deporte

Copa del Mundo 2026: Los aficionados ingleses enfrentan precios de entradas de al menos £2,600 para el partido contra México

teknomers 2 de Temmuz de 2026
  • Finanzas

«El Loira no estará seco este verano»: gracias a los embalses, el río podrá seguir enfriando las centrales nucleares.

teknomers 2 de Temmuz de 2026
«No hay que exagerar»: la advertencia de Guy Stéphan antes
  • Deporte

«No hay que exagerar»: la advertencia de Guy Stéphan antes de Paraguay-Francia

teknomers 2 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.