Уязвимость реализации функции execAz() библиотеки проверки подлинности для служб в облачной платформе Azure ms-rest-nodeauth связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии с помощью специально сформированного вызова AzureCliCredentials.setDefaultSubscription
Использование рекомендаций:
https://github.com/Azure/ms-rest-nodeauth/pull/117
https://github.com/Azure/ms-rest-nodeauth/blob/a7b3f559e969725b48decd4393635690bdede452/lib/login.ts#L954
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28458
| Балл | 7.2 — высокая опасность |