CVE-2024-20676
In Microsoft Azure existieren mehrere Schwachstellen. Es existieren mehrere Schwachstellen in Microsoft Azure. Die Fehler bestehen in der Komponente Storage Mover Agent. Eine der Schwachstellen ist nicht im Detail beschrieben. Die andere wiederum wird ausgenutzt, indem ein bösartiges JSON Web Encryption (JWE) Token mit einer hohen Kompressionsrate erstellt wird. Ein entfernter, authentisierter Angreifer mit bestimmten Rechten kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen und einen Denial-of-Service-Zustand zu verursachen. Angreifer benötigen die ARMID, die UUID oder die IDP (Entra ID) des installierten Agenten, um die Schwachstellen erfolgreich auszunutzen.
EPSS 0.17% · 37.5th percentile
Risk Scores
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| Microsoft | Microsoft Azure | |
| Microsoft | Microsoft Azure Storage Mover Agent |
Timeline
- Jan 9, 2024 CVE Published
- Jan 9, 2024 PoC Published
- Jan 18, 2024 EPSS Score
- Feb 15, 2024 EPSS Score
- Mar 14, 2024 EPSS Score
- May 9, 2024 EPSS Score
- Jun 6, 2024 EPSS Score
- Jul 4, 2024 EPSS Score
- Aug 1, 2024 EPSS Score
- Sep 26, 2024 EPSS Score
- Oct 4, 2024 Coalition ESS Score
- Oct 24, 2024 EPSS Score