Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-07463

Опубликовано: 08 нояб. 2022
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость интерфейса командной строки (CLI) платформы Microsoft Azure связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Microsoft Corp

Наименование ПО

Azure CLI

Версия ПО

до 2.40.0 (Azure CLI)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp Windows -

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/Azure/azure-cli/security/advisories/GHSA-47xc-9rr2-q7p4
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-39327

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 79%
0.01311
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-39327

CVSS3: 8.1
ubuntu
больше 3 лет назад

Azure CLI is the command-line interface for Microsoft Azure. In versions previous to 2.40.0, Azure CLI contains a vulnerability for potential code injection. Critical scenarios are where a hosting machine runs an Azure CLI command where parameter values have been provided by an external source. The vulnerability is only applicable when the Azure CLI command is run on a Windows machine and with any version of PowerShell and when the parameter value contains the `&` or `|` symbols. If any of these prerequisites are not met, this vulnerability is not applicable. Users should upgrade to version 2.40.0 or greater to receive a a mitigation for the vulnerability.

nvd логотип

CVE-2022-39327

CVSS3: 8.1
nvd
больше 3 лет назад

Azure CLI is the command-line interface for Microsoft Azure. In versions previous to 2.40.0, Azure CLI contains a vulnerability for potential code injection. Critical scenarios are where a hosting machine runs an Azure CLI command where parameter values have been provided by an external source. The vulnerability is only applicable when the Azure CLI command is run on a Windows machine and with any version of PowerShell and when the parameter value contains the `&` or `|` symbols. If any of these prerequisites are not met, this vulnerability is not applicable. Users should upgrade to version 2.40.0 or greater to receive a a mitigation for the vulnerability.

msrc логотип

CVE-2022-39327

msrc
около 3 лет назад

GitHub: CVE-2022-39327 Improper Control of Generation of Code ('Code Injection') in Azure CLI

debian логотип

CVE-2022-39327

CVSS3: 8.1
debian
больше 3 лет назад

Azure CLI is the command-line interface for Microsoft Azure. In versio ...

github логотип

GHSA-47xc-9rr2-q7p4

CVSS3: 8.1
github
больше 3 лет назад

Improper Control of Generation of Code ('Code Injection') in Azure CLI

EPSS

Процентиль: 79%
0.01311
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2