CRITICAL✓ PATCH🇬🇧 English

CVE-2025-54914

Krytyczna podatność privilege escalation w Microsoft Azure Networking

CVSS 10.0v3.1pub. 2025-09-04upd. 2025-10-20

CVE-2025-54914 to krytyczna podatność typu Elevation of Privilege (privilege escalation) w Microsoft Azure Networking, oceniona na maksymalny wynik CVSS 10.0. Ze względu na sieciowy wektor ataku niewymagający uwierzytelnienia ani interakcji użytkownika, podatność stwarza poważne ryzyko dla infrastruktury chmurowej opartej na platformie Azure.

Pokaż oryginał (EN)

Azure Networking Elevation of Privilege Vulnerability

🤖 Analiza AI
Jak działa

Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne podniesienie uprawnień w komponencie Azure Networking bez konieczności jakiejkolwiek interakcji ze strony użytkownika. Wektor CVSS wskazuje na atak sieciowy o niskiej złożoności (AV:N/AC:L/PR:N/UI:N) z efektem wykraczającym poza zakres atakowanego komponentu (S:C). Szczegółowy mechanizm techniczny nie został ujawniony przez Microsoft w publicznym opisie, co jest typową praktyką producenta w początkowej fazie ujawnienia podatności.

Skutki

Skuteczne wykorzystanie podatności może pozwolić atakującemu na uzyskanie wysokich uprawnień w środowisku Azure Networking, potencjalnie prowadząc do naruszenia poufności, integralności oraz dostępności zasobów sieciowych (C:H/I:H/A:H). Zasięg ataku wykracza poza bezpośrednio zaatakowany komponent, co zwiększa ryzyko dla całej infrastruktury sieciowej w ramach platformy Azure.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o aktualizacjach dostępne są w Microsoft Security Response Center (MSRC) pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54914. Zaleca się śledzenie komunikatów Microsoft dotyczących wdrożenia poprawek po stronie platformy Azure, gdyż znaczna część mitigacji może być realizowana bezpośrednio przez Microsoft bez wymaganego działania klienta.

Kogo dotyczy

Microsoft Azure Networking — wersje wskazane w referencjach producenta

Uwagi

Podatność posiada maksymalny wynik CVSS 10.0 oraz wektor S:C (Scope Changed), co oznacza, że skutki ataku mogą wykroczyć poza bezpośrednio atakowany komponent. Jako usługa zarządzana przez Microsoft (Azure PaaS/IaaS), część działań naprawczych może być wdrożona transparentnie po stronie dostawcy bez wymaganej interwencji administratorów klientów. Należy monitorować komunikaty Microsoft dotyczące statusu wdrożenia poprawki.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Azure Networking

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam vendor

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2026-20963CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server

CVE-2025-59287CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE w Windows Server Update Service (WSUS) — deserializacja danych

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-53770CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE przez deserialization w Microsoft SharePoint Server (on-premises)