CVE-2022-39327

Versões do Azure CLI anteriores à 2.40.0

A vulnerabilidade está relacionada à interface de linha de comando do Azure CLI para o Microsoft Azure, que contém um possível problema de injeção de código nas versões anteriores à 2.40.0. Essa vulnerabilidade pode ser explorada quando uma máquina hospedeira executa um comando do Azure CLI com valores de parâmetros fornecidos por uma fonte externa. A vulnerabilidade só se aplica quando o comando do Azure CLI é executado em uma máquina Windows com qualquer versão do PowerShell e quando o valor do parâmetro contém os símbolos & ou |. Cenários críticos incluem máquinas de hospedagem que executam comandos do Azure CLI com entrada externa, como aplicativos web que criam segredos no Azure KeyVault. Por exemplo, um invasor poderia injetar comandos ou scripts do sistema fornecendo um valor de parâmetro que contenha os símbolos & ou |.

Para resolver o problema, atualize para a versão 2.40.0 ou superior do Azure CLI. Como alternativa, para as versões 2.41.0 e posteriores, chame manualmente o script de entrada azps.ps1 em cenários críticos identificados, como a execução do comando C:Program Files (x86)Microsoft SDKsAzureCLI2wbinazps.ps1 keyvault secret set --vault-name SomeVault --name foobar --value “abc123|whoami”. Observe que o uso do script de entrada azps.ps1 pode introduzir regressões e problemas no comportamento do Azure CLI, e os usuários devem verificar a eficácia do comando antes de usá-lo em ambientes de produção.