风险概要

微软近期获悉一个影响旧版Service Fabric Explorer（SFX）的跨站脚本（XSS）漏洞（CVE-2022-35829）。当前默认的SFX网页客户端（SFXv2）不受此攻击影响，但客户可手动从默认客户端（SFXv2）切换至存在漏洞的旧版SFX网页客户端（SFXv1）。该漏洞需要攻击者已具备Service Fabric集群中的代码部署和执行权限，且目标需使用存在漏洞的网页客户端（SFXv1）。

现状与建议

截至目前，微软未发现该漏洞被利用的情况。为保障安全，我们建议所有Service Fabric客户：

• 升级至最新SFX版本
• 避免手动切换至存在漏洞的SFXv1网页客户端版本 即将发布的SF版本将移除SFXv1及切换选项。

致谢

感谢Orca Security通过协调漏洞披露机制报告该漏洞，并与我们合作保护客户安全。

参考资源

• 访问安全更新指南获取CVE-2022-35829详细信息
• Azure Service Fabric产品博客
• Azure Service Fabric集群升级指南
• 如需技术支持，请通过Azure门户提交支持案例