Podatność typu deserialization of untrusted data w usłudze Windows Server Update Service (WSUS) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu przez sieć. Podatność jest aktywnie wykorzystywana i znajduje się na liście CISA KEV.
▸ Pokaż oryginał (EN)
Deserialization of untrusted data in Windows Server Update Service allows an unauthorized attacker to execute code over a network.
Usługa WSUS nieprawidłowo przetwarza niezaufane dane podczas ich deserializacji (CWE-502). Atakujący może przesłać spreparowany payload sieciowy, który zostaje zdesirializowany przez podatną usługę bez wcześniejszego uwierzytelnienia. Skutkuje to wykonaniem dowolnego kodu w kontekście atakowanego serwera.
Nieuwierzytelniony atakujący zdalnie może przejąć pełną kontrolę nad serwerem — uzyskać dostęp do poufnych danych, modyfikować systemy lub zakłócić ich działanie (pełne naruszenie poufności, integralności i dostępności).
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287). CISA nakazała federalnym agencjom USA natychmiastowe wdrożenie poprawek. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do interfejsów WSUS wyłącznie do zaufanych hostów.
Microsoft Windows Server 2012, Windows Server 2016, Windows Server 2022, Windows Server 2022 23H2, Windows Server 2025 — z uruchomioną rolą Windows Server Update Service (WSUS).
Podatność figuruje na liście CISA Known Exploited Vulnerabilities (KEV) — CISA wydała nakaz dla federalnych agencji USA zobowiązujący do niezwłocznego zastosowania poprawek.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMicrosoft Windows Server 2012
OSMicrosoftr2Microsoft Windows Server 2016
OSMicrosoft< 10.0.14393.8524Microsoft Windows Server 2019
OSMicrosoft< 10.0.17763.7922Microsoft Windows Server 2022
OSMicrosoft< 10.0.20348.4297Microsoft Windows Server 2022 23h2
OSMicrosoft< 10.0.25398.1916Microsoft Windows Server 2025
OSMicrosoft< 10.0.26100.6905
CISA KEV — szczegółyi
- Dostawcai
- Microsoft ↗
- Produkti
- Windows
- Data dodania do KEVi
- 24 października 2025
- Termin remediation (USA)i
- 14 listopada 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z obowiązującymi wytycznymi BOD 22-01 dla usług cloud, lub zaprzestań korzystania z produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Microsoft Windows Server Update Service (WSUS) zawiera lukę w deserializacji niezaufanych danych, która umożliwia zdalne wykonanie kodu (RCE).
▸ Pokaż oryginał (EN)
Microsoft Windows Server Update Service (WSUS) contains a deserialization of untrusted data vulnerability that allows for remote code execution.
Powiązane podatności
A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly val...
A remote code execution vulnerability exists in Windows Domain Name System servers when they fail to properly ...
A remote code execution vulnerability exists when the Microsoft .NET Framework fails to validate input properl...
Microsoft Windows XP SP3, Windows XP x64 XP2, Windows Server 2003 SP2, Windows Vista, Windows 7 SP1, Windows S...
HTTP.sys in Microsoft Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1, and Windows Server 20...