Han surgido detalles sobre una vulnerabilidad ahora parcheada en Azure Service Fabric Explorer (SFX<\/a>) que podr\u00eda conducir a la ejecuci\u00f3n remota de c\u00f3digo no autenticado.<\/p>\n rastreado como CVE-2023-23383<\/a> (Puntuaci\u00f3n CVSS: 8,2), Orca Security ha denominado el problema “Super FabriXss”, un gui\u00f1o a la falla de FabriXss (CVE-2022-35829, puntuaci\u00f3n CVSS: 6,2) que Microsoft solucion\u00f3 en octubre de 2022.<\/p>\n “La vulnerabilidad Super FabriXss permite a los atacantes remotos aprovechar una vulnerabilidad XSS para lograr la ejecuci\u00f3n remota de c\u00f3digo en un contenedor alojado en un nodo de Service Fabric sin necesidad de autenticaci\u00f3n”, dijo el investigador de seguridad Lidor Ben Shitrit. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n XSS se refiere a un tipo de inyecci\u00f3n de c\u00f3digo del lado del cliente<\/a> ataque que permite cargar scripts maliciosos en sitios web de confianza. Luego, los scripts se ejecutan cada vez que una v\u00edctima visita el sitio web comprometido, lo que genera consecuencias no deseadas.<\/p>\n Si bien tanto FabriXss como Super FabriXss son fallas de XSS, Super FabriXss tiene implicaciones m\u00e1s graves en el sentido de que podr\u00eda usarse como arma para ejecutar c\u00f3digo y potencialmente obtener el control de sistemas susceptibles.<\/p>\n Super FabriXss, que reside en la pesta\u00f1a “Eventos” asociada con cada nodo en el cl\u00faster desde la interfaz de usuario, tambi\u00e9n es una falla XSS reflejada, lo que significa que el script est\u00e1 incrustado en un enlace y solo se activa cuando se hace clic en el enlace.<\/p>\n “Este ataque aprovecha las opciones de Alternar tipo de cl\u00faster en la pesta\u00f1a Eventos en la plataforma Service Fabric que permite a un atacante sobrescribir una implementaci\u00f3n de Compose existente activando una actualizaci\u00f3n con una URL especialmente dise\u00f1ada de XSS Vulnerability”, explic\u00f3 Ben Shitrit.<\/p>\n “Al tomar el control de una aplicaci\u00f3n leg\u00edtima de esta manera, el atacante puede usarla como plataforma para lanzar m\u00e1s ataques u obtener acceso a datos o recursos confidenciales”.<\/p>\n La falla, seg\u00fan Orca, afecta a Azure Service Fabric Explorer versi\u00f3n 9.1.1436.9590 o anterior. Desde entonces, Microsoft lo abord\u00f3 como parte de su actualizaci\u00f3n del martes de parches de marzo de 2023, y el gigante tecnol\u00f3gico lo describi\u00f3 como una vulnerabilidad de suplantaci\u00f3n de identidad.<\/p>\n “La vulnerabilidad est\u00e1 en el cliente web, pero los scripts maliciosos ejecutados en el navegador de la v\u00edctima se traducen en acciones ejecutadas en el cl\u00faster (remoto)”, Microsoft anotado<\/a> en su aviso. “Un usuario v\u00edctima tendr\u00eda que hacer clic en la carga \u00fatil XSS almacenada inyectada por el atacante para verse comprometida”.<\/p>\n \u00a1Convi\u00e9rtase en un profesional de respuesta a incidentes!<\/p>\n Descubra los secretos de la respuesta a incidentes a prueba de balas: \u00a1domine el proceso de 6 fases con Asaf Perlman, l\u00edder de IR de Cynet!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n La divulgaci\u00f3n se produce cuando NetSPI revel\u00f3 un falla de escalada de privilegios<\/a> en Azure Function Apps, lo que permite a los usuarios con permisos de “solo lectura” acceder a informaci\u00f3n confidencial y obtener la ejecuci\u00f3n de comandos.<\/p>\n Tambi\u00e9n sigue al descubrimiento de una configuraci\u00f3n incorrecta en Azure Active Directory que expuso una serie de aplicaciones al acceso no autorizado, incluido un sistema de administraci\u00f3n de contenido (CMS) que impulsa Bing.com.<\/p>\n La firma de seguridad en la nube Wiz, que nombr\u00f3 el ataque Bing Bang<\/a>dijo que podr\u00eda usarse como arma para alterar los resultados de b\u00fasqueda en Bing y, lo que es peor, incluso realizar ataques XSS a sus usuarios.<\/p>\n <\/p>\n![\"Vulnerabilidad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1680446009_582_Investigadores-Detalle-Grave-quotSuper-FabricXssquot-Vulnerabilidad-en-Microsoft-Azure-SFX.png\" "\\"Vulnerabilidad")
<\/div>\n