微软Azure曝 FabriXss 漏洞，可绕过身份验证远程执行代码

近日，关于 Azure Service Fabric Explorer ( SFX ) 中一个现已修补的漏洞详细信息公开披露，该漏洞可能导致未经身份验证的远程代码执行。

该漏洞号为 CVE-2023-23383（CVSS评分：8.2），该漏洞被称为 Super FabriXss，这是对 Microsoft 在2022 年10月修复的 FabriXss 漏洞（CVE-2022-35829，CVSS评分：6.2）的认可。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，Super FabriXss 漏洞使远程攻击者能够利用 XSS 漏洞在 Service Fabric 节点上托管的容器上实现远程代码执行，而无需身份验证。

XSS 是指一种客户端代码注入攻击，可以将恶意脚本上传到其他受信任的网站。每当受害者访问受感染的网站时，脚本就会被执行，从而导致意想不到的后果。

虽然 FabriXss 和 Super FabriXss 都是 XSS 缺陷，但 Super FabriXss 具有更严重的危害，因为它可以被武器化以执行代码，并有可能获得对易受攻击系统的控制。

Super FabriXss 位于用户界面中与集群中每个节点相关联的“事件”选项卡中，也是一个反射型 XSS 漏洞，这意味着脚本嵌入到链接中，并且仅在单击链接时触发。

极牛攻防实验室表示，这种攻击利用了 Service Fabric 平台事件选项卡下的集群类型切换选项，允许攻击者通过使用来自 XSS 漏洞的特制 URL 触发升级来覆盖现有的 Compose 部署。

通过以这种方式控制合法应用程序，攻击者可以将其用作发起进一步攻击或访问敏感数据或资源的平台。

该漏洞会影响 Azure Service Fabric Explorer 版本 9.1.1436.9590 或更早版本。该漏洞存在于 Web 客户端中，但在受害者浏览器中执行的恶意脚本会转化为在（远程）集群中执行的操作，受害用户必须单击攻击者注入的存储的 XSS 有效载荷才能受到损害。