CRITICAL✓ PATCH🇬🇧 English

CVE-2025-30390

Nieprawidłowa autoryzacja w Azure Machine Learning — privilege escalation

CVSS 9.9v3.1pub. 2025-04-30upd. 2025-05-12

Podatność w usłudze Microsoft Azure Machine Learning umożliwia uwierzytelnionemu atakującemu nieautoryzowane podniesienie uprawnień przez sieć. Ocena CVSS 9.9 wskazuje na krytyczny poziom zagrożenia z potencjalnym wpływem na poufność, integralność i dostępność zasobów.

Pokaż oryginał (EN)

Improper authorization in Azure allows an authorized attacker to elevate privileges over a network.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej autoryzacji (CWE-285) w usłudze Microsoft Azure Machine Learning. Uwierzytelniony atakujący, posiadający jedynie podstawowe uprawnienia sieciowe, jest w stanie obejść mechanizmy kontroli dostępu i uzyskać wyższy poziom uprawnień niż mu przysługuje. Atak nie wymaga interakcji po stronie użytkownika ani złożonych warunków wstępnych, a jego zakres wykracza poza pierwotnie skompromitowany kontekst (Scope: Changed).

Skutki

Atakujący może uzyskać podwyższone uprawnienia w środowisku Azure Machine Learning, co może prowadzić do pełnego naruszenia poufności, integralności i dostępności przetwarzanych danych oraz zasobów obliczeniowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o aktualizacjach dostępne są w Microsoft Security Response Center pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30390

Kogo dotyczy

Microsoft Azure Machine Learning — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Azure Machine Learning

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-49746CRITICAL9.9PL ✓ten sam produkt

Privilege escalation w Azure Machine Learning przez błąd autoryzacji

CVE-2025-49747CRITICAL9.9PL ✓ten sam produkt

Brak autoryzacji w Azure Machine Learning umożliwia privilege escalation

CVE-2026-33833HIGH8.2ten sam produkt

Improper neutralization of special elements in output used by a downstream component ('injection') in Azure Ma...

CVE-2026-32207HIGH8.8ten sam produkt

Improper neutralization of input during web page generation ('cross-site scripting') in Azure Machine Learning...

CVE-2025-47995MEDIUM6.5ten sam produkt

Weak authentication in Azure Machine Learning allows an authorized attacker to elevate privileges over a netwo...