CRITICAL✓ PATCH🇬🇧 English

CVE-2025-29827

Nieprawidłowa autoryzacja w Azure Automation umożliwia privilege escalation

CVSS 9.9v3.1pub. 2025-05-08upd. 2025-06-05

Podatność w usłudze Microsoft Azure Automation polega na nieprawidłowej autoryzacji, która pozwala uwierzytelnionemu atakującemu na eskalację uprawnień przez sieć. Ocena CVSS 9.9 wskazuje na krytyczny poziom zagrożenia z potencjalnie szerokim zasięgiem oddziaływania.

Pokaż oryginał (EN)

Improper authorization in Azure Automation allows an authorized attacker to elevate privileges over a network.

🤖 Analiza AI
Jak działa

Błąd wynika z nieprawidłowej implementacji mechanizmów autoryzacji (CWE-285, CWE-863) w usłudze Azure Automation. Atakujący posiadający podstawowy dostęp sieciowy do środowiska może wykorzystać tę lukę bez konieczności interakcji ze strony użytkownika. Dzięki temu możliwe jest uzyskanie uprawnień wykraczających poza te, do których atakujący jest uprawniony, a efekt ataku może wykraczać poza zakres bezpośrednio zaatakowanego zasobu (zakres S:C w wektorze CVSS).

Skutki

Atakujący może uzyskać nieautoryzowany, podwyższony poziom uprawnień w środowisku Azure, co może prowadzić do przejęcia kontroli nad zasobami automatyzacji, ujawnienia poufnych danych lub naruszenia integralności systemów zarządzanych przez Azure Automation.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły dostępne w Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29827

Kogo dotyczy

Microsoft Azure Automation — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
  • Microsoft Azure Automation

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2024-21330HIGH7.8ten sam produkt

Open Management Infrastructure (OMI) Elevation of Privilege Vulnerability

CVE-2021-42306HIGH8.1ten sam produkt

An information disclosure vulnerability manifests when a user or an application uploads unprotected private ke...

CVE-2019-0962MEDIUM4.9ten sam produkt

An elevation of privilege vulnerability exists in Azure Automation "RunAs account" runbooks for users with con...

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam vendor

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2026-20963CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server