CVE-2021-42306

Azure Active Directory (AAD) (versões afetadas não especificadas)

Azure Automation (versões afetadas não especificadas)

Azure Site Recovery (versões afetadas não especificadas)

Azure Migrate (versões afetadas não especificadas)

O problema está relacionado a falhas no procedimento de autenticação, o que pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. Especificamente, ocorre uma vulnerabilidade de divulgação de informações quando um usuário ou aplicativo carrega dados de chave privada desprotegidos como parte de um certificado de autenticação keyCredential em um aplicativo ou entidade de serviço do Azure AD. Essa vulnerabilidade permite que um usuário ou serviço no locatário com acesso de leitura ao aplicativo leia os dados da chave privada que foram adicionados ao aplicativo.

Para o Azure Active Directory (AAD), a fim de evitar a divulgação de quaisquer valores de chave privada adicionados ao aplicativo, certifique-se de que os dados da chave privada estejam protegidos e não sejam carregados como parte de um certificado de autenticação keyCredential em um aplicativo ou entidade de serviço do Azure AD.

Como solução alternativa temporária, considere restringir o acesso à propriedade keyCredential nas APIs de aplicativos e entidades de serviço do Azure AD até que uma correção esteja disponível.

Para o Azure Automation, o Azure Site Recovery e o Azure Migrate, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.