Feiligensspesjalist Wiz warskôget foar in kwetsberens yn Microsoft's Azure App Service. De kwetsberens bleatsteld hûnderten boarne koade repositories. Microsoft hat it lek sûnt patched.
Wiz ûntduts de saneamde NotLegit-kwetsberens yn Azure App Service. De tsjinst, ek wol bekend as Azure Web Apps, is in platfoarm foar hosting fan websiden en web-basearre applikaasjes. Boarnekoade en artefakten kinne wurde uploade nei Azure App Service mei it Local Git-ark. Brûkers kinne in Local Git-repository ynstelle mei de Azure App Service-container en de koade direkt nei de server drukke.
Neffens de ûndersikers sit dêr krekt de kwetsberens. By it brûken fan Local Git om de koade út te rollen nei de Azure App Service, waard it git-repository ynsteld mei in iepenbier tagonklike map wêr't elkenien tagong ta kin.
Ferskate koadetalen beynfloede
Benammen boarnekoade skreaun yn PHP, Python, Ruby of Node is kwetsber. Dit is foar in part om't dizze koadetalen faak webservers brûke lykas Apache, Nginx en Flask. Dizze webservers kinne web.config-bestannen net omgean. Dit makket it mooglik publyk tagong ta neamd boarne koade repositories.
Bekend by Microsoft
De feiligensspesjalisten by Wiz hawwe Microsoft begjin oktober dit jier al ynformearre oer de kwetsberens. Microsoft hat it sûnt sluten. Yn alle gefallen drage de saakkundigen de brûkers op om te kontrolearjen oft har boarnekoade is iepenbiere en aksje te nimmen foar har applikaasjes.