ثغرة أمنية حرجة في Azure API Connection تسمح بالتصعيد الامتيازات وسرقة الأسرار
2025-03-12
اكتشف باحثو أمن من Binary Security واجهات برمجة تطبيقات غير موثقة في Azure API Connections، مما يسمح بالتصعيد الامتيازات وسرقة الأسرار من موارد الخلفية مثل Key Vaults و Storage Blobs و Defender ATP، وحتى خوادم Jira و Salesforce الخاصة بالشركات. تتمثل الثغرة في قدرة أي مستخدم لديه حق الوصول للقراءة إلى اتصال API على استدعاء أي طلب GET مُعرّف، متجاوزًا ضوابط الأمان والوصول إلى البيانات الحساسة. وقد أقرت Microsoft بالثغرة وقامت بإصلاحها.
اقرأ المزيد