Azure HDInsight’ta, Depolanan XSS ve Yansıyan XSS ile ilgili birden çok Siteler Arası Komut Dosyası Çalıştırma – XSS güvenlik açığı olduğu belirlendi. Bu güvenlik açıklarının önem derecesi 4,5 (Orta) ve 4,6 (Orta).
Bu güvenlik açıkları Azure Apache Oozie, Apache Ambari, Jupyter Notebooks, Apache Hadoop ve Apache Hive 2 dahil olmak üzere birçok ürünü etkiledi. Ancak Microsoft, bu güvenlik açıklarını 8 Ağustos Güvenlik güncellemesinde düzeltti.
Saklanan XSS
Cyber Security News ile paylaşılan raporlara göre 6 adet Stored XSS zafiyeti ve 2 adet Reflected XSS zafiyeti tespit edildi ve bunlardan 4 tanesi Apache Ambari üzerinde mevcuttu.
Bu güvenlik açıkları YARN Yapılandırmaları, YARN Kuyruk Yöneticisi, Arka Plan İşlemleri ve Yönetilen Bildirimlerle ilgiliydi. Bu güvenlik açıklarının tümü CVE-2023-36881 altında kategorize edilmiştir.
Diğer iki Depolanan XSS, sırasıyla CVE-2023-35394 ve CVE-2023-36877 altında kategorize edilen Jupyter Notebook’larda ve Apache Woozie’de mevcuttu.
CVE-2023-35394, Jupyter Not Defterlerindeki Kod Yürütmeyle ilgiliydi ve önem derecesi 4,6 (Orta) idi; CVE-2023-36877 ise Web Konsolunda Depolanan XSS ile ilgiliydi ve önem derecesi 4,5 (Orta) idi.Orta).
DoControl ile ihtiyaçlarınıza uygun iş akışları oluşturarak SaaS uygulamalarınızı ve verilerinizi güvende tutabilirsiniz. Riskleri tanımlamanın ve yönetmenin kolay ve etkili bir yoludur. Kuruluşunuzun SaaS uygulamalarının riskini ve maruziyetini yalnızca birkaç basit adımda azaltabilirsiniz.
Ücretsiz Demoyu Deneyin
Yansıyan XSS
Ayrıca bu iki güvenlik açığı Apache Hadoop ve Apache Hive 2’de yansıtılıyor ve CVE-2023-38188 ve CVE-2023-35393 altında kategorize ediliyor. Her iki güvenlik açığının da önem derecesi 4,5’ti (Orta) ve uç nokta manipülasyonu yoluyla tetiklenebilir.
Bahsedilen güvenlik açıklarının listesi, önem dereceleri ve CVE kimliği aşağıdaki tabloda bulunabilir.
Orca Security, istismar, kavram kanıtı ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınladı. Bu güvenlik açıklarından yararlanılmasını önlemek için bu ürünlerin kullanıcılarının en son sürüme yükseltme yapması gerekir.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.