摘要

微软近期发现旧版Service Fabric Explorer（SFXv1）在特定条件下存在跨站脚本（XSS）漏洞（CVE-2022-35829）。当前默认的SFX Web客户端（SFXv2）不受此漏洞影响，但用户仍可手动切换至存在漏洞的旧版客户端（SFXv1）。攻击者需已具备Service Fabric集群的代码部署与执行权限，且目标需使用存在漏洞的SFXv1客户端。

目前微软未发现该漏洞被利用的情况。为确保安全，建议所有Service Fabric用户升级至最新SFX版本，并避免手动切换至旧版SFXv1客户端。即将发布的SF版本将彻底移除SFXv1及其切换选项。

感谢Orca Security通过协调漏洞披露机制报告此漏洞，并与我们合作保护客户安全。

附加参考

• 访问安全更新指南获取CVE-2022-35829详细信息
• Azure Service Fabric产品博客
• Azure Service Fabric集群升级指南
• 如有疑问，请通过Azure门户提交支持案例