Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-42306

Опубликовано: 24 нояб. 2021
Источник: nvd
CVSS3: 8.1
CVSS3: 6.5
CVSS2: 4
EPSS Низкий

Описание

An information disclosure vulnerability manifests when a user or an application uploads unprotected private key data as part of an authentication certificate keyCredential  on an Azure AD Application or Service Principal (which is not recommended). This vulnerability allows a user or service in the tenant with application read access to read the private key data that was added to the application. Azure AD addressed this vulnerability by preventing disclosure of any private key values added to the application. Microsoft has identified services that could manifest this vulnerability, and steps that customers should take to be protected. Refer to the FAQ section for more information. For more details on this issue, please refer to the MSRC Blog Entry.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:microsoft:azure_active_directory:*:*:*:*:*:*:*:*
Версия до 2021-10-30 (исключая)
cpe:2.3:a:microsoft:azure_active_site_recovery:*:*:*:*:*:*:*:*
Версия до 2021-11-01 (исключая)
cpe:2.3:a:microsoft:azure_automation:*:*:*:*:*:*:*:*
Версия до 2021-10-15 (исключая)
cpe:2.3:a:microsoft:azure_migrate:*:*:*:*:*:*:*:*
Версия до 2021-11-02 (исключая)

EPSS

Процентиль: 91%
0.06268
Низкий

8.1 High

CVSS3

6.5 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-522

Связанные уязвимости

msrc логотип

CVE-2021-42306

CVSS3: 8.1
msrc
около 4 лет назад

Azure Active Directory Information Disclosure Vulnerability

github логотип

GHSA-vxjx-p5m9-q5fr

CVSS3: 6.5
github
около 4 лет назад

Azure Active Directory Information Disclosure Vulnerability

fstec логотип

BDU:2021-05586

CVSS3: 8.8
fstec
около 4 лет назад

Уязвимость платформы для управления и защиты идентификационных данных Azure Active Directory (AAD), службы автоматизации Azure Automation, средства аварийного восстановления Azure Site Recovery и службы для переноса данных из локальной среды Azure Migrate, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 91%
0.06268
Низкий

8.1 High

CVSS3

6.5 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-522