近日，關于 Azure Service Fabric Explorer ( SFX ) 中一個現(xiàn)已修補的漏洞詳細信息公開披露，該漏洞可能導致未經(jīng)身份驗證的遠程代碼執(zhí)行。

該漏洞號為 CVE-2023-23383（CVSS評分：8.2），該漏洞被稱為 Super FabriXss，這是對 Microsoft 在2022 年10月修復的 FabriXss 漏洞（CVE-2022-35829，CVSS評分：6.2）的認可。

根據(jù)中國網(wǎng)絡安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理，Super FabriXss 漏洞使遠程攻擊者能夠利用 XSS 漏洞在 Service Fabric 節(jié)點上托管的容器上實現(xiàn)遠程代碼執(zhí)行，而無需身份驗證。

XSS 是指一種客戶端代碼注入攻擊，可以將惡意腳本上傳到其他受信任的網(wǎng)站。每當受害者訪問受感染的網(wǎng)站時，腳本就會被執(zhí)行，從而導致意想不到的后果。

雖然 FabriXss 和 Super FabriXss 都是 XSS 缺陷，但 Super FabriXss 具有更嚴重的危害，因為它可以被武器化以執(zhí)行代碼，并有可能獲得對易受攻擊系統(tǒng)的控制。

Super FabriXss 位于用戶界面中與集群中每個節(jié)點相關聯(lián)的“事件”選項卡中，也是一個反射型 XSS 漏洞，這意味著腳本嵌入到鏈接中，并且僅在單擊鏈接時觸發(fā)。

極牛攻防實驗室表示，這種攻擊利用了 Service Fabric 平臺事件選項卡下的集群類型切換選項，允許攻擊者通過使用來自 XSS 漏洞的特制 URL 觸發(fā)升級來覆蓋現(xiàn)有的 Compose 部署。

通過以這種方式控制合法應用程序，攻擊者可以將其用作發(fā)起進一步攻擊或訪問敏感數(shù)據(jù)或資源的平臺。

該漏洞會影響 Azure Service Fabric Explorer 版本 9.1.1436.9590 或更早版本。該漏洞存在于 Web 客戶端中，但在受害者瀏覽器中執(zhí)行的惡意腳本會轉(zhuǎn)化為在（遠程）集群中執(zhí)行的操作，受害用戶必須單擊攻擊者注入的存儲的 XSS 有效載荷才能受到損害。