Podatność w Microsoft Azure Machine Learning umożliwia uwierzytelnionemu atakującemu eskalację uprawnień przez sieć. Oceniona jako krytyczna (CVSS 9.9), podatność może prowadzić do przejęcia kontroli nad zasobami poza oryginalnym zakresem uprawnień.
▸ Pokaż oryginał (EN)
Improper authorization in Azure Machine Learning allows an authorized attacker to elevate privileges over a network.
Błąd polega na nieprawidłowej autoryzacji (CWE-285) — mechanizmy kontroli dostępu nie weryfikują właściwie, jakie operacje są dozwolone dla danego uwierzytelnionego użytkownika. Atakujący posiadający podstawowy poziom dostępu do środowiska może wysłać odpowiednio spreparowane żądania sieciowe, które zostaną obsłużone z wyższymi uprawnieniami niż powinny. Wektor ataku jest sieciowy, nie wymaga interakcji ze strony ofiary ani złożonych warunków wstępnych.
Atakujący może uzyskać podwyższone uprawnienia w środowisku Azure Machine Learning, co przy zakresie wpływu wykraczającym poza komponent źródłowy (Scope: Changed) może skutkować pełnym naruszeniem poufności, integralności i dostępności powiązanych zasobów.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły dotyczące aktualizacji opublikowano w Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49746
Microsoft Azure Machine Learning — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HMicrosoft Azure Machine Learning
APPMicrosoftwszystkie wersje
Powiązane podatności
Brak autoryzacji w Azure Machine Learning umożliwia privilege escalation
Nieprawidłowa autoryzacja w Azure Machine Learning — privilege escalation
Improper neutralization of special elements in output used by a downstream component ('injection') in Azure Ma...
Improper neutralization of input during web page generation ('cross-site scripting') in Azure Machine Learning...
Weak authentication in Azure Machine Learning allows an authorized attacker to elevate privileges over a netwo...