ГлавнаяБаза уязвимостей БДУ → BDU:2021-02263
7.2высокая

BDU:2021-02263 (CVE-2021-28458)

Уязвимость реализации функции execAz() библиотеки проверки подлинности для служб в облачной платформе Azure ms-rest-nodeauth, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2021-04-27
Описание

Уязвимость реализации функции execAz() библиотеки проверки подлинности для служб в облачной платформе Azure ms-rest-nodeauth связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии с помощью специально сформированного вызова AzureCliCredentials.setDefaultSubscription

Затрагиваемое ПО и версии
ms-rest-nodeauth (до 3.0.8)
Способ устранения

Использование рекомендаций:
https://github.com/Azure/ms-rest-nodeauth/pull/117
https://github.com/Azure/ms-rest-nodeauth/blob/a7b3f559e969725b48decd4393635690bdede452/lib/login.ts#L954
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28458

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2021-28458https://www.npmjs.com/package/@azure/ms-rest-nodeauth/v/3.0.8https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28458https://github.com/Azure/ms-rest-nodeauth/pull/117
Проверьте безопасность своего сайта и почты → Полная проверка домена