សូមលម្អិតជាមួយនឹងបញ្ហាដែល patched នៅពេលនេះនៅក្នុង Azure Service Fabric Explorer (SFX) ដែលអាចបណ្តាលឱ្យហេគឃ័រឆ្លៀតឱកាសបញ្ជាកូដពីចម្ងាយដោយមិនចាំបាច់ផ្ទៀងផ្ទាត់។បើយោងតាមផ្លេតហ្វមសុវត្ថិភាព Orca Security ឱ្យដឹងថា បញ្ហា CVE-2023-23383 (CVSS score: 8.2) ឬ Super FabriXss ភ្ជាប់ជាមួយបញ្ហា FabriXss (CVE-2022-35829, CVSS score: 6.2) ត្រូវដោះស្រាយដោយក្រុមហ៊ុនម៉ាយក្រូសូស្វកាលពីខែតុលា ឆ្នាំ២០២២។ អ្នកស្រាវជ្រាវថ្លែងថា បញ្ហា Super FabriXss អាចឱ្យហេគឃ័របញ្ជាដើម្បីលើកយកបញ្ហា XSS មកប្រតិបត្តិការកូដពីចម្ងាយនៅលើម៉ាស៊ីន host នៅត្រង់ចំណុចភ្ជាប់សេវា Fabric ដោយគ្មានការផ្ទៀងផ្ទាត់។ XSS សំដៅទៅដល់ការវាយប្រហារបែបចាក់បញ្ចូលកូដនៅខាងអតិថិជនដែលពួកគេអាចអាប់ឡូត scripts អាក្រក់ទៅក្នុងគេហទំព័រដែលទុកចិត្ត។
បន្ទាប់មក scripts អាចដំណើរការរាល់ពេលជនរងគ្រោះចូលទៅកាន់គេហទំព័រសម្របសម្រួល និងបង្កើតបញ្ហាដោយអចេតនា។ ខណៈដែល FabriXss និង Super FabriXss គឺជាបញ្ហា XSS នោះ Super FabriXss មានផលប៉ះពាល់ធ្ងន់ធ្ងរដែលវាអាចជាអាវុធសម្រាប់បញ្ជាកូដនិងគ្រប់គ្រងប្រព័ន្ធងាយរងគ្រោះ។
បញ្ហា Super FabriXss នៅក្នុង “Events” tab ភ្ជាប់ជាមួយនឹងចំណុចភ្ជាប់នៅក្នុង cluster ពី user interface ហើយក៏ឆ្លុះបញ្ចាំងពីបញ្ហា XSS មានន័យថា script ត្រូវបង្កប់នៅក្នុងលីងនិងដំណើរការនៅពេលជនរងគ្រោះចុចលើលីង។ អ្នកស្រាវជ្រាវបន្ថែមថា ការវាយប្រហារនេះទាញយកផលប្រយោជន៍ពី Cluster Type Toggle options នៅក្រោម Events Tab នៅក្នុងផ្លេតហ្វម Service Fabric ដែលផ្តល់ឱ្យហេគឃ័រអាច overwrite លើការដាក់ពង្រាយ Compose ដែលមានស្រាប់ដោយ upgrade ជាមួយនឹង crafted URL ចេញពីបញ្ហា XSS។
ការគ្រប់គ្រងកម្មវិធីស្របច្បាប់តាមរយៈមធ្យោបាយនេះ ហេគឃ័រអាចប្រើវាជាផ្លេតហ្វមសម្រាប់ការវាយប្រហារនាពេលខាងមុខ ឬទាញយកទិន្នន័យនិងធនធានរសើប។ យោងតាម Orca ឱ្យដឹងថា បញ្ហានេះប៉ះពាល់ដល់ Azure Service Fabric Explorer version 9.1.1436.9590 ឬជំនាន់មុន។ វាត្រូវបង្ហាញដោយក្រុមហ៊ុនម៉ាយក្រូសូស្វ ហើយក៏ជាផ្នែកមួយនៃការ patch សម្រាប់ខែមីនា ឆ្នាំ២០២៣។ ក្រុមហ៊ុនណែនាំថា បញ្ហាគឺស្ថិតនៅក្នុង web client ប៉ុន្តែ scripts អាក្រក់ប្រតិបត្តិនៅក្នុង browser ជនរងគ្រោះ ហើយប្រែជាប្រតិបត្តិការនៅក្នុង cluster ពីចម្ងាយ។ ជនរងគ្រោះអាចចុចលើ XSS ដែលផ្ទុកដោយហេគឃ័រ ដើម្បីសម្របសម្រួល។ក្រុមហ៊ុនសូស្វវែរ NetSPI បង្ហើបប្រាប់ថា បញ្ហាដំឡើងសិទ្ធិពិសេសនៅក្នុងកម្មវិធី Azure អាចបើកឱ្យអ្នកប្រើដែលមិនគ្រាន់តែអានតែមួយប៉ុណ្ណោះទេ ថែមទាំងអាចប្រើព័ត៌មានរសើបនិងប្រតិបត្តិពាក្យបញ្ជាថែមទៀត៕
