Se ha reportado una vulnerabilidad de severidad crítica CVSS de 9.8 en la instalación MCR VSTS CLI. Cuando se instala desde Microsoft Container Registry, la instalación intenta cargar un recurso de nube inexistente que es vulnerable a la adquisición. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en sistemas que dependen del recurso de la nube.
Productos afectados:
-MCR VSTS CLI para Microsoft Azure
Impacto:
Esta vulnerabilidad podría permitir a un actor malicioso remoto ejecutar código arbitrario en instalaciones afectadas de MCR VSTS CLI para Microsoft Azure. No se requiere autenticación para explotar esta vulnerabilidad.
Recomendación:
Microsoft ha publicado una actualización para corregir esta vulnerabilidad, más detalles en el siguiente enlace:
Enlaces de referencia:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-codigo-en-azure-de-microsoft
- https://www.zerodayinitiative.com/advisories/ZDI-24-208/
- https://msrc.microsoft.com/update-guide/en-us/acknowledgement/online