Podatność w usłudze Microsoft Azure Automation polega na nieprawidłowej autoryzacji, która pozwala uwierzytelnionemu atakującemu na eskalację uprawnień przez sieć. Ocena CVSS 9.9 wskazuje na krytyczny poziom zagrożenia z potencjalnie szerokim zasięgiem oddziaływania.
▸ Pokaż oryginał (EN)
Improper authorization in Azure Automation allows an authorized attacker to elevate privileges over a network.
Błąd wynika z nieprawidłowej implementacji mechanizmów autoryzacji (CWE-285, CWE-863) w usłudze Azure Automation. Atakujący posiadający podstawowy dostęp sieciowy do środowiska może wykorzystać tę lukę bez konieczności interakcji ze strony użytkownika. Dzięki temu możliwe jest uzyskanie uprawnień wykraczających poza te, do których atakujący jest uprawniony, a efekt ataku może wykraczać poza zakres bezpośrednio zaatakowanego zasobu (zakres S:C w wektorze CVSS).
Atakujący może uzyskać nieautoryzowany, podwyższony poziom uprawnień w środowisku Azure, co może prowadzić do przejęcia kontroli nad zasobami automatyzacji, ujawnienia poufnych danych lub naruszenia integralności systemów zarządzanych przez Azure Automation.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły dostępne w Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29827
Microsoft Azure Automation — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:LMicrosoft Azure Automation
APPMicrosoftwszystkie wersje
Powiązane podatności
Open Management Infrastructure (OMI) Elevation of Privilege Vulnerability
An information disclosure vulnerability manifests when a user or an application uploads unprotected private ke...
An elevation of privilege vulnerability exists in Azure Automation "RunAs account" runbooks for users with con...
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server