Microsoft Dataverse 远程代码执行高危漏洞 (CVE-2024-35260) 安全公告

安全公告：Microsoft Dataverse 远程代码执行漏洞 (CVE-2024-35260)

概述

在 Microsoft Dataverse 中发现了一个严重的远程代码执行漏洞，被分配为 CVE-2024-35260。该漏洞被归类为 CWE-426（不可信搜索路径），允许具有高权限的认证攻击者通过网络执行任意代码。微软已完全修复了该漏洞，客户无需采取任何行动。

详细信息

• CVE ID: CVE-2024–35260
• 影响: 远程代码执行
• 最高严重等级: 严重
• 弱点: CWE-426: 不可信搜索路径
• CVSS v3.1 分数: 8.0（基础分数）/ 7.0（时间分数）
• 攻击向量: 网络
• 攻击复杂度: 高
• 所需权限: 高
• 用户交互: 无
• 作用域: 已改变
• 机密性影响: 高
• 完整性影响: 高
• 可用性影响: 高
• 漏洞利用代码成熟度: 未经验证
• 修复级别: 官方修复
• 报告可信度: 已确认

描述

该漏洞存在于 Microsoft Dataverse 的不可信搜索路径中。具有高权限的认证攻击者可通过网络执行任意代码来利用此漏洞。成功利用需要复杂的攻击，但会严重影响受影响系统的机密性、完整性和可用性。

CVSS 细分

CVSS 向量: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

• 攻击向量 (AV): 网络
• 攻击复杂度 (AC): 高
• 所需权限 (PR): 高
• 用户交互 (UI): 无
• 作用域 (S): 已改变
• 机密性 ©: 高
• 完整性 (I): 高
• 可用性 (A): 高

影响

成功利用 CVE-2024-35260 可能允许攻击者：

• 在受影响的系统上执行任意代码。
• 控制系统，允许他们操纵文件、安装恶意程序或进一步破坏网络。
• 通过使系统不可用来中断正常操作。

可利用性

• 公开披露: 否
• 已被利用: 否
• 可利用性评估: 利用可能性较大

常见问题解答

问：为什么没有指向更新或保护步骤说明的链接？

此漏洞已由微软完全修复。该服务的用户无需采取任何行动。发布此 CVE 的目的是提供进一步的透明度。

问：攻击者如何利用此漏洞？

由于 Microsoft Dataverse 中存在不可信的搜索路径，具有高权限的认证攻击者可通过网络执行任意代码来利用此漏洞。

缓解措施

由于微软已完全修复此漏洞，客户无需采取任何行动。

修复方案

• 官方修复: 微软已发布修复程序来解决此漏洞。该服务的用户已受到保护。

建议

• 保持了解: 随时关注微软的安全更新和公告。
• 监控系统: 定期监控系统是否存在任何可能表明尝试利用活动的异常活动。
• 实施安全最佳实践: 确保遵循安全最佳实践，包括限制权限和实施稳健的访问控制。

参考资料

• Microsoft 安全公告：公告链接
• CVE 详情：CVE-2024–35260
• CWE-426: 不可信搜索路径：CWE-426

联系

如需更多信息或帮助，请联系微软安全支持。

通过保持警惕并遵守安全最佳实践，即使用户面临诸如 CVE-2024-35260 之类的潜在漏洞，也能确保持续保护其系统和数据的安全。

CSD0tFqvECLokhw9aBeRqgzMWoT3AX/+bU4PBIwC6Dgz4bU3GmSivP4eHcITsid+qdAV1yAafKV1lY1QAus9+SLZ3W5btRwQnTIFZGTRh4v/nr3q+baPC5rupAY04xxIG4kqr831mxxA9U3o5hEgHwJD6hryu+nWSb4ava4BWGjEQweOwfY94R7+gGfkRrcb