Microsoft Azure Code Injection Zafiyeti

Microsoft Azure Code Injection Zafiyeti

Azure CLI, Microsoft Azure için komut satırı arabirimidir.(CVE-2022-39327)

Azure CLI, 2.40.0'dan önceki sürümlerde potansiyel kod eklemeye yönelik bir güvenlik açığı tespit edilmiştir. Buna göre Güvenlik açığına yol açabilecek olası kritik senaryolar, bir barındırma makinesinin parametre değerlerinin bir dış kaynak tarafından sağlandığı bir Azure CLI komutunu çalıştırmasıdır. Güvenlik açığı yalnızca Azure CLI komutu bir Windows makinesinde ve herhangi bir PowerShell sürümüyle çalıştırıldığında ve parametre değeri "&" veya "|" sembollerini içerdiğinde geçerlidir. Bu güvenlik açığı, bu önkoşullardan herhangi biri karşılanmazsa uygulanamaz. (CVE-2022-39327)

Etkilenen Sistemler

cpe:2.3:a:microsoft:azure_command-line_interface:*:*:*:*:*:*:*:*Up to (excluding) 2.40.0
Running on/with
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

IoC’ler

-

Çözüm Önerileri

-

Tedbirler

Kullanıcıların bu zafiyete karşı tedbir oluşturabilmeleri için versiyon 2.40.0 veya daha üstü sürümlere geçmeleri önerilmektedir.

CVE / CWE

CVE-2022-39327

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2022-39327
• https://github.com/Azure/azure-cli/pull/23514
• https://github.com/Azure/azure-cli/pull/24015
• https://github.com/Azure/azure-cli/security/advisories/GHSA-47xc-9rr2-q7p4

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.