ГлавнаяБаза уязвимостей БДУ → BDU:2024-04789
4.6средняя

BDU:2024-04789 (CVE-2024-35255)

Уязвимость компонентов DefaultAzureCredential и ManagedIdentityCredential библиотек аутентификации Azure Identity Libraries и Microsoft Authentication Library, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2024-06-26
Описание

Уязвимость компонентов DefaultAzureCredential и ManagedIdentityCredential библиотек аутентификации Azure Identity Libraries и Microsoft Authentication Library связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Затрагиваемое ПО и версии
Azure Identity Library for .NET (до 1.11.4)Azure Identity Library for C++ (до 1.8.0)Azure Identity Library for Go (до 1.6.0)Azure Identity Library for Java (до 1.12.2)Azure Identity Library for JavaScript (до 4.2.1)Azure Identity Library for Python (до 1.16.1)Microsoft Authentication Library (MSAL) for .NET (от 4.49.1 до 4.61.3)Microsoft Authentication Library (MSAL) for Java (от 1.14.4-beta до 1.15.1)Microsoft Authentication Library (MSAL) for Node.js (от 2.7.0 до 2.9.2)
Способ устранения

Использование рекомендаций:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35255

Оценка CVSS
Балл4.6 — средняя опасность
Источники и патчи
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35255https://www.nuget.org/packages/Microsoft.Identity.Client/https://mvnrepository.com/artifact/com.microsoft.azure/msal4jhttps://www.npmjs.com/package/@azure/msal-nodehttps://learn.microsoft.com/en-us/dotnet/api/azure.identity.defaultazurecredential?view=azure-dotnethttps://learn.microsoft.com/ru-ru/dotnet/api/azure.identity.managedidentitycredential?view=azure-dotnet
Проверьте безопасность своего сайта и почты → Полная проверка домена