CVE-2025-54914 to krytyczna podatność typu Elevation of Privilege (privilege escalation) w Microsoft Azure Networking, oceniona na maksymalny wynik CVSS 10.0. Ze względu na sieciowy wektor ataku niewymagający uwierzytelnienia ani interakcji użytkownika, podatność stwarza poważne ryzyko dla infrastruktury chmurowej opartej na platformie Azure.
▸ Pokaż oryginał (EN)
Azure Networking Elevation of Privilege Vulnerability
Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne podniesienie uprawnień w komponencie Azure Networking bez konieczności jakiejkolwiek interakcji ze strony użytkownika. Wektor CVSS wskazuje na atak sieciowy o niskiej złożoności (AV:N/AC:L/PR:N/UI:N) z efektem wykraczającym poza zakres atakowanego komponentu (S:C). Szczegółowy mechanizm techniczny nie został ujawniony przez Microsoft w publicznym opisie, co jest typową praktyką producenta w początkowej fazie ujawnienia podatności.
Skuteczne wykorzystanie podatności może pozwolić atakującemu na uzyskanie wysokich uprawnień w środowisku Azure Networking, potencjalnie prowadząc do naruszenia poufności, integralności oraz dostępności zasobów sieciowych (C:H/I:H/A:H). Zasięg ataku wykracza poza bezpośrednio zaatakowany komponent, co zwiększa ryzyko dla całej infrastruktury sieciowej w ramach platformy Azure.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o aktualizacjach dostępne są w Microsoft Security Response Center (MSRC) pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54914. Zaleca się śledzenie komunikatów Microsoft dotyczących wdrożenia poprawek po stronie platformy Azure, gdyż znaczna część mitigacji może być realizowana bezpośrednio przez Microsoft bez wymaganego działania klienta.
Microsoft Azure Networking — wersje wskazane w referencjach producenta
Podatność posiada maksymalny wynik CVSS 10.0 oraz wektor S:C (Scope Changed), co oznacza, że skutki ataku mogą wykroczyć poza bezpośrednio atakowany komponent. Jako usługa zarządzana przez Microsoft (Azure PaaS/IaaS), część działań naprawczych może być wdrożona transparentnie po stronie dostawcy bez wymaganej interwencji administratorów klientów. Należy monitorować komunikaty Microsoft dotyczące statusu wdrożenia poprawki.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Azure Networking
APPMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server
RCE w Windows Server Update Service (WSUS) — deserializacja danych
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
RCE przez deserialization w Microsoft SharePoint Server (on-premises)