
在微软Dataverse中发现了一个关键的远程代码执行漏洞,被分配编号CVE-2024–35260。该漏洞归类于CWE-426(不受信任的搜索路径),允许具有高权限的认证攻击者通过网络执行任意代码。微软已完全缓解此漏洞,无需客户采取任何行动。
CVE ID: CVE-2024–35260
影响: 远程代码执行
最高严重性: 严重
弱点: CWE-426: 不受信任的搜索路径
CVSS v3.1 评分: 8.0 (基础评分) / 7.0 (时序评分)
攻击向量: 网络
攻击复杂性: 高
所需权限: 高
用户交互: 无
作用范围: 已改变
机密性影响: 高
完整性影响: 高
可用性影响: 高
漏洞利用代码成熟度: 未经证实
修复级别: 官方修复
报告可信度: 已确认
该漏洞存在于微软Dataverse的一个不受信任的搜索路径中。具有高权限的认证攻击者可以利用此漏洞通过网络执行任意代码。成功利用需要复杂的攻击,但可能严重影响受影响系统的机密性、完整性和可用性。
CVSS 向量: CVSS:3.1/AV/AC/PR/UI/S/C/I/A
攻击向量 (AV): 网络
攻击复杂性 (AC): 高
所需权限 (PR): 高
用户交互 (UI): 无
作用范围 (S): 已改变
机密性 ©: 高
完整性 (I): 高
可用性 (A): 高
成功利用CVE-2024–35260可能使攻击者能够:
公开披露: 否
已被利用: 否
可利用性评估: 利用可能性更高
为什么没有指向更新的链接或需要采取的保护措施说明?
此漏洞已被微软完全缓解。使用此服务的用户无需采取任何行动。发布此CVE的目的是提供更高的透明度。
攻击者如何利用此漏洞?
由于微软Dataverse中存在不受信任的搜索路径,具有高权限的认证攻击者可以通过网络执行任意代码来利用此漏洞。
解决此漏洞无需客户采取任何行动,因为它已被微软完全缓解。
官方修复: 微软已发布修复程序以修补此漏洞。服务用户已受到保护。
如需了解更多信息或帮助,请联系微软安全支持。
通过保持警惕并遵守安全最佳实践,即使面对CVE-2024–35260等潜在漏洞,用户也能确保持续保护其系统和数据。
CSD0tFqvECLokhw9aBeRqgzMWoT3AX/+bU4PBIwC6Dgz4bU3GmSivP4eHcITsid+qdAV1yAafKV1lY1QAus9+SLZ3W5btRwQnTIFZGTRh4v/nr3q+baPC5rupAY04xxIG4kqr831mxxA9U3o5hEgHwJD6hryu+nWSb4ava4BWGjEQweOwfY94R7+gGfkRrcb
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。