Três novas falhas de segurança foram divulgadas no serviço de gerenciamento de API do Microsoft Azure, que podem ser abusadas por agentes mal-intencionados para obter acesso a informações confidenciais ou serviços de back-end.

Isso inclui duas falhas de falsificação de solicitação do lado do servidor (SSRF) e uma instância de funcionalidade de upload de arquivo irrestrito no portal do desenvolvedor de gerenciamento de API, de acordo com a empresa israelense de segurança em nuvem Ermetic.

Ao abusar das vulnerabilidades de SSRF, os invasores podem enviar solicitações do CORS Proxy do serviço e do próprio proxy de hospedagem, acessar ativos internos do Azure, negar serviço e ignorar firewalls de aplicativos Web.

O Gerenciamento de API do Azure é uma plataforma de gerenciamento multicloud que permite que as organizações exponham com segurança suas APIs a clientes externos e internos e habilitem uma ampla variedade de experiências conectadas.

A exploração de falhas SSRF pode resultar em perda de confidencialidade e integridade, permitindo que um agente de ameaça leia recursos internos do Azure e execute código não autorizado.