Bmc-Msft

**Nome do software vulnerável e versões afetadas** Versões 2.12.0 a 2.30.0 do OneFuzz **Descrição** O problema está relacionado a uma verificação de autorização incompleta no OneFuzz, permitindo que um usuário autenticado de qualquer locatário do Azure Active Directory faça chamadas de API autorizadas a uma instância vulnerável do OneFuzz. Isso pode resultar em acesso de leitura/gravação a dados privados, como informações sobre vulnerabilidades de software e falhas, ferramentas de teste de segurança e código e símbolos proprietários. Além disso, permite a adulteração de dados existentes e a execução não autorizada de código em recursos de computação do Azure. **Recomendações** Para as versões do OneFuzz 2.12.0 a 2.30.0, os usuários podem restringir o acesso ao locatário de uma instância do OneFuzz implantada reimplantando-a na configuração padrão, que omite a opção `--multi tenant domain`. Para versões do OneFuzz anteriores à 2.31.0, atualize para a versão 2.31.0 ou posterior, que inclui a adição de uma verificação no nível do aplicativo do `issuer` do token de portador em relação a uma lista de permissões configurada pelo administrador.