研究人员披露Azure Cosmos DB中的RCE漏洞CosMiss

据外媒日报道，Orca Security研究人员披露了Azure Cosmos DB内置的Jupyter Notebooks中的RCE漏洞CosMiss。如果攻击者知道Notebook的 forwardingId ，即Notebook Workspace的UUID，他们将拥有Notebook的完整权限而无需进行身份验证，包括读取和写入访问权限。研究人员于2022年10月3日向Microsoft报告了该漏洞，软件供应商在10月5日修复了它。Microsoft解释称，不使用Jupyter Notebooks的客户（99.8%的客户）不易受到此漏洞的影响 。