CVE-2021-37705

Versões 2.12.0 a 2.30.0 do OneFuzz

O problema está relacionado a uma verificação de autorização incompleta no OneFuzz, permitindo que um usuário autenticado de qualquer locatário do Azure Active Directory faça chamadas de API autorizadas a uma instância vulnerável do OneFuzz. Isso pode resultar em acesso de leitura/gravação a dados privados, como informações sobre vulnerabilidades de software e falhas, ferramentas de teste de segurança e código e símbolos proprietários. Além disso, permite a adulteração de dados existentes e a execução não autorizada de código em recursos de computação do Azure.

Para as versões do OneFuzz 2.12.0 a 2.30.0, os usuários podem restringir o acesso ao locatário de uma instância do OneFuzz implantada reimplantando-a na configuração padrão, que omite a opção --multi tenant domain.

Para versões do OneFuzz anteriores à 2.31.0, atualize para a versão 2.31.0 ou posterior, que inclui a adição de uma verificação no nível do aplicativo do issuer do token de portador em relação a uma lista de permissões configurada pelo administrador.