Ang espesyalista sa seguridad nga si Wiz nagpasidaan sa usa ka kahuyang sa Microsoft's Azure App Service. Ang kahuyang nagbutyag sa gatusan ka mga source code repository. Sukad niadto gi-patch na sa Microsoft ang leak.
Nadiskobrehan ni Wiz ang gitawag nga NotLegit vulnerability sa Azure App Service. Ang serbisyo, nailhan usab nga Azure Web Apps, usa ka plataporma alang sa pag-host sa mga website ug mga aplikasyon nga nakabase sa web. Ang source code ug artifacts mahimong ma-upload sa Azure App Service gamit ang Local Git tool. Ang mga tiggamit makahimo og usa ka Local Git repository nga adunay Azure App Service nga sudlanan ug iduso ang code direkta ngadto sa server.
Sumala sa mga tigdukiduki, kini mao ang tukma diin ang kahuyang nahimutang. Kung gigamit ang Local Git aron i-roll out ang code sa Azure App Service, ang git repository gi-set up nga adunay usa ka publiko nga ma-access nga direktoryo nga ma-access sa tanan.
Daghang code nga mga pinulongan ang naapektuhan
Ilabi na ang source code nga gisulat sa PHP, Python, Ruby o Node huyang. Kini usa ka bahin tungod kay kini nga mga code nga mga pinulongan kanunay nga naggamit sa mga web server sama sa Apache, Nginx ug Flask. Kini nga mga web server dili makadumala sa mga file sa web.config. Gitugotan niini ang pag-access sa publiko sa giingon nga mga repositoryo sa source code.
Nailhan sa Microsoft
Gipahibalo na sa mga espesyalista sa seguridad sa Wiz ang Microsoft sa pagkahuyang sa sinugdanan sa Oktubre ning tuiga. Gisirado na kini sa Microsoft. Sa bisan unsa nga kaso, ang mga eksperto nag-awhag sa mga tiggamit sa pagsusi kon ang ilang source code gipadayag ug sa paghimo sa aksyon alang sa ilang mga aplikasyon.