CRITICAL✓ PATCH🇬🇧 English

CVE-2025-49746

Privilege escalation w Azure Machine Learning przez błąd autoryzacji

CVSS 9.9v3.1pub. 2025-07-18upd. 2025-08-14

Podatność w Microsoft Azure Machine Learning umożliwia uwierzytelnionemu atakującemu eskalację uprawnień przez sieć. Oceniona jako krytyczna (CVSS 9.9), podatność może prowadzić do przejęcia kontroli nad zasobami poza oryginalnym zakresem uprawnień.

Pokaż oryginał (EN)

Improper authorization in Azure Machine Learning allows an authorized attacker to elevate privileges over a network.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej autoryzacji (CWE-285) — mechanizmy kontroli dostępu nie weryfikują właściwie, jakie operacje są dozwolone dla danego uwierzytelnionego użytkownika. Atakujący posiadający podstawowy poziom dostępu do środowiska może wysłać odpowiednio spreparowane żądania sieciowe, które zostaną obsłużone z wyższymi uprawnieniami niż powinny. Wektor ataku jest sieciowy, nie wymaga interakcji ze strony ofiary ani złożonych warunków wstępnych.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w środowisku Azure Machine Learning, co przy zakresie wpływu wykraczającym poza komponent źródłowy (Scope: Changed) może skutkować pełnym naruszeniem poufności, integralności i dostępności powiązanych zasobów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły dotyczące aktualizacji opublikowano w Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49746

Kogo dotyczy

Microsoft Azure Machine Learning — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Azure Machine Learning

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-49747CRITICAL9.9PL ✓ten sam produkt

Brak autoryzacji w Azure Machine Learning umożliwia privilege escalation

CVE-2025-30390CRITICAL9.9PL ✓ten sam produkt

Nieprawidłowa autoryzacja w Azure Machine Learning — privilege escalation

CVE-2026-33833HIGH8.2ten sam produkt

Improper neutralization of special elements in output used by a downstream component ('injection') in Azure Ma...

CVE-2026-32207HIGH8.8ten sam produkt

Improper neutralization of input during web page generation ('cross-site scripting') in Azure Machine Learning...

CVE-2025-47995MEDIUM6.5ten sam produkt

Weak authentication in Azure Machine Learning allows an authorized attacker to elevate privileges over a netwo...