CVE-2025-49752 - 安全更新指南 - 微软 - Azure Bastion 权限提升漏洞

安全漏洞 发布日期： 2025年11月20日 最后更新： 2025年11月21日 指定 CNA： 微软 此 CVE 记录的安全漏洞无需客户采取任何解决措施。

影响： 权限提升 最高严重性： 严重 弱点： CWE-294：通过捕获-重放绕过身份验证

CVSS 来源： 微软 向量字符串： CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L/E:U/RL:O/RC:C 指标： CVSS:3.1 10.0 / 8.7

基础评分指标：

• 攻击向量： 网络
  • 易受攻击的组件绑定到网络堆栈，可能的攻击者范围超出列出的其他选项，直至并包括整个互联网。此类漏洞通常被称为“可远程利用”，可被视为在一个或多个网络跃点（例如，跨越一个或多个路由器）之外即可利用的协议级攻击。
• 攻击复杂性： 低
  • 不存在专门的访问条件或特殊情况。攻击者可以预期对易受攻击的组件重复攻击成功。
• 所需权限： 无
  • 攻击者在攻击前未经授权，因此不需要任何访问设置或文件即可发起攻击。
• 用户交互： 无
  • 无需任何用户交互即可利用易受攻击的系统。
• 范围： 已更改
  • 被利用的漏洞可能影响超出易受攻击组件安全管理权限所管理安全范围之外的资源。在这种情况下，易受攻击的组件和受影响的组件是不同的，并由不同的安全管理机构管理。
• 机密性影响： 高
  • 存在完全的机密性损失，导致受影响组件内的所有资源泄露给攻击者。或者，仅获取了一些受限信息的访问权限，但泄露的信息造成了直接、严重的影响。
• 完整性影响： 高
  • 存在完全的完整性损失或完全的保护丧失。例如，攻击者能够修改受影响的组件保护的任何/所有文件。或者，只能修改某些文件，但恶意修改将给受影响的组件带来直接、严重的后果。
• 可用性影响： 低
  • 性能降低或资源可用性中断。即使可能重复利用该漏洞，攻击者也无力完全拒绝向合法用户提供服务。受影响组件中的资源要么始终部分可用，要么仅有时完全可用，但总体上对受影响组件没有直接、严重的后果。

时间评分指标：

• 漏洞利用代码成熟度： 未经验证
  • 没有公开可用的漏洞利用代码，或者利用是理论上的。
• 修复级别： 官方修复
  • 有完整的供应商解决方案。供应商已发布官方补丁，或已有可用的升级。
• 报告置信度： 已确认
  • 存在详细报告，或者可能进行功能性重现（功能性漏洞利用可能提供此条件）。可通过源代码独立验证研究的断言，或者受影响代码的作者或供应商已确认存在该漏洞。

可利用性 下表提供了此漏洞在最初发布时的可利用性评估：

• 公开披露： 否
• 已被利用： 否
• 可利用性评估： 不适用

常见问题解答 问：为什么没有指向更新的链接或必须采取哪些步骤来防范此漏洞的说明？ 答： 此漏洞已被微软完全缓解。此服务的用户无需采取任何行动。发布此 CVE 的目的是为了提供更高的透明度。

致谢 微软感谢安全社区中通过协调漏洞披露帮助我们保护客户的人员所做的努力。

免责声明 Microsoft 知识库提供的信息“按原样”提供，不提供任何形式的担保。Microsoft 不承担所有明示或暗示的担保，包括适销性和特定用途适用性的担保。在任何情况下，Microsoft Corporation 或其供应商都不承担任何损害赔偿责任，包括直接、间接、附带、后果性、商业利润损失或特殊损害赔偿，即使 Microsoft Corporation 或其供应商已被告知发生此类损害的可能性。某些州/省不允许排除或限制附带或后果性损害的责任，因此上述限制可能不适用。

修订版本

• 1.2 版（2025年11月21日）：更新了致谢信息。
• 1.0 版（2025年11月20日）：信息发布。
• 1.1 版（2025年11月20日）：更正了安全更新表。这仅为信息性更改。