Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02884

Опубликовано: 15 апр. 2022
Источник: fstec
CVSS3: 9.1
CVSS2: 9
EPSS Низкий

Описание

Уязвимость стороннего компонента интеграции данных драйвера Magnitude Simba Amazon Redshift ODBC в облачных службах Azure Data Factory и Azure Synapse связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Microsoft Corp
Amazon Web Services, Inc.

Наименование ПО

Azure Data Factory
Azure Synapse
Amazon Redshift ODBC

Версия ПО

- (Azure Data Factory)
- (Azure Synapse)
до 1.4.52 (Amazon Redshift ODBC)

Тип ПО

Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
1. Использование рекомендаций производителей:
Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/ADV220001
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29972
Для Amazon Redshift ODBC:
https://insightsoftware.com/trust/security/advisories/redshift-and-athena-driver-vulnerability/
2. Компенсирующие меры:
- использование средств антивирусной защиты
- настройка рабочего пространства Synapse через управляемую виртуальную сеть.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 68%
0.00568
Низкий

9.1 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-29972

CVSS3: 7.8
nvd
больше 3 лет назад

An argument injection vulnerability in the browser-based authentication component of the Magnitude Simba Amazon Redshift ODBC Driver (1.4.14 through 1.4.21.1001 and 1.4.22 through 1.4.x before 1.4.52) may allow a local user to execute arbitrary code.

msrc логотип

CVE-2022-29972

msrc
больше 3 лет назад

Insight Software: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver

github логотип

GHSA-ph62-9j8f-j6ff

CVSS3: 7.8
github
больше 3 лет назад

An argument injection vulnerability in the browser-based authentication component of the Magnitude Simba Amazon Redshift ODBC Driver (1.4.14 through 1.4.21.1001 and 1.4.22 through 1.4.x before 1.4.52) may allow a local user to execute arbitrary code.

msrc логотип

ADV220001

msrc
больше 3 лет назад

Upcoming improvements to Azure Data Factory and Azure Synapse Pipeline infrastructure in response to CVE-2022-29972

EPSS

Процентиль: 68%
0.00568
Низкий

9.1 Critical

CVSS3

9 Critical

CVSS2