Service Fabric Explorer (SFX) v1 Web 客户端潜在风险认知与指导

概要

微软近期发现了一个在特定条件下影响旧版Service Fabric Explorer (SFX)的跨站脚本(XSS)漏洞(CVE-2022-35829)。当前默认的SFX Web客户端(SFXv2)不受此漏洞影响。但用户可能手动从默认Web客户端(SFXv2)切换至老旧且存在漏洞的SFX Web客户端版本(SFXv1)。要利用此漏洞，攻击者需具备在Service Fabric集群上部署和执行代码的权限，且目标必须使用脆弱的Web客户端(SFXv1)。

目前微软尚未发现该漏洞被利用的案例。为保障安全，建议所有使用Service Fabric的客户升级至最新SFX版本，避免手动切换至老旧脆弱的SFXv1 Web客户端版本。在未来的SF版本中，微软计划移除SFXv1及切换至SFXv1的选项。

感谢Orca Security公司向我们报告此漏洞，并在协调漏洞披露(CVD)框架下与我们合作保护客户安全。

参考资料

• 有关CVE-2022-35829的详细信息，请参阅《安全更新指南》
• Azure Service Fabric产品博客
• Azure Service Fabric集群升级和更新步骤请参考： Azure Service Fabric集群升级与更新
• 如有疑问，请通过aka.ms/azsupt在Azure门户中创建支持案例