JPSRT LOGO

潜在的な Service Fabric Explorer (SFX) v1 Web クライアント リスクに関する認識とガイダンス

本ブログは、Awareness and guidance related to potential Service Fabric Explorer (SFX) v1 web client risk の抄訳版です。最新の情報は原文を参照してください。


概要

マイクロソフトは最近、限られた状況下で、古いバージョンの Service Fabric Explorer (SFX) に影響するクロスサイト スクリプティング (XSS) の脆弱性 (CVE-2022-35829) を認識しました。現在の既定の SFX Web クライアント (SFXv2) は、これを悪用する攻撃に対して脆弱ではありません。しかし、お客様は既定のWebクライアント (SFXv2) から、古く脆弱な SFX Web クライアントバージョン (SFXv1) に手動で切り替えることができます。この脆弱性を悪用するには、攻撃者が Service Fabric クラスターでコードの展開と実行の特権を持っており、ターゲットが脆弱な Web クライアント (SFXv1) である必要があります。

現時点では、マイクロソフトはこの脆弱性の悪用を認識していません。セキュリティを維持するため、Service Fabric を利用するすべてのお客様は最新の SFX バージョンにアップグレードし、脆弱で古い SFXv1 Web クライアント バージョンに手動で切り替えることは控えることをお勧めします。SF の今後のリリースでは、SFXv1 および SFXv1 に切り替えるオプションを削除する予定です。

Orca Security 社がこの脆弱性を当社に通知し、お客様を保護するために 協調的な脆弱性の公開 ( Coordinated Vulnerability Disclosure- CVD ) の下で当社と協力してくれたことに感謝いたします。

参考資料