Azure DevOps 曝多漏洞

据Cybersecuritynews消息，Binary Security 在客户项目中发现 Azure DevOps 存在多个漏洞，可让攻击者进行 CRLF 查询注入和 DNS 重绑定攻击。其中，endpointproxy 功能漏洞可致服务器端请求伪造，攻击者能访问内部服务，暴露敏感信息；Service Hooks 功能漏洞可实现 SSRF 和 CRLF 注入，攻击者能注入 HTTP 头、操纵出站请求。利用 DNS 重绑定技术还可绕过 endpointproxy 漏洞的初始修复，或导致 Azure Active Directory 访问令牌泄露。