CVE-2025-49752 - 安全更新指南 - Microsoft - Azure Bastion 权限提升漏洞
你需要启用 JavaScript 来运行此应用。
CVE-2025-49752 Azure Bastion 权限提升漏洞
发布日期: 2025年11月20日 最后更新: 2025年11月21日 分配 CNA: Microsoft 此 CVE 记录的漏洞无需客户采取措施即可解决。 CVE.org 链接:CVE-2025-49752
影响 权限提升
最高严重性 严重
弱点 CWE-294: 通过捕获-重放进行身份验证绕过
CVSS 来源 Microsoft
向量字符串 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L/E:U/RL:O/RC:C
指标 CVSS:3.1 10.0 / 8.7
基本评分指标 (8)
| 指标 | 值 | 描述 |
|---|---|---|
| 攻击向量 | 网络 | 易受攻击的组件绑定到网络堆栈,可能的攻击者范围超出列出的其他选项,直至整个互联网。这种漏洞通常被称为“可远程利用”,可被认为是在一个或多个网络跃点(例如,跨越一个或多个路由器)的协议级别上可利用的攻击。 |
| 攻击复杂度 | 低 | 不存在专门的访问条件或减轻情况。攻击者可以预期对易受攻击的组件获得可重复的成功。 |
| 所需权限 | 无 | 攻击者在攻击前未经授权,因此不需要任何对设置或文件的访问权限即可进行攻击。 |
| 用户交互 | 无 | 无需任何用户交互即可利用易受攻击的系统。 |
| 影响范围 | 已更改 | 被利用的漏洞可能影响超出易受攻击组件的安全管理机构安全范围之外的资源。在这种情况下,易受攻击的组件和受影响的组件是不同的,并由不同的安全管理机构管理。 |
| 机密性影响 | 高 | 存在完全的机密性丧失,导致受影响组件内的所有资源都泄露给攻击者。或者,仅获取了一些受限信息的访问权限,但泄露的信息会带来直接、严重的影响。 |
| 完整性影响 | 高 | 存在完全的完整性丧失,或完全的保护丧失。例如,攻击者能够修改受影响的组件保护的任何/所有文件。或者,只能修改某些文件,但恶意修改将对受影响的组件造成直接、严重的后果。 |
| 可用性影响 | 低 | 性能降低或资源可用性中断。即使可能重复利用该漏洞,攻击者也无法完全拒绝向合法用户提供服务。受影响组件中的资源要么始终部分可用,要么仅有时完全可用,但总体而言对受影响组件没有直接、严重的后果。 |
时间评分指标 (3)
| 指标 | 值 | 描述 |
|---|---|---|
| 漏洞利用代码成熟度 | 未经证实 | 没有公开可用的漏洞利用代码,或者漏洞利用是理论上的。 |
| 修复级别 | 官方修复 | 提供了完整的供应商解决方案。供应商已发布官方补丁,或提供了升级版本。 |
| 报告可信度 | 已确认 | 存在详细报告,或者可以进行功能复现(功能性漏洞利用可能提供此条件)。有源代码可独立验证研究断言,或者受影响代码的作者或供应商已确认存在该漏洞。 |
有关这些指标定义的更多信息,请参阅通用漏洞评分系统。
可利用性 下表提供了此漏洞在最初发布时的可利用性评估。
- 公开披露: 否
- 已被利用: 否
- 可利用性评估: 不适用
常见问题解答 为什么没有指向更新或保护步骤的链接? 此漏洞已被微软完全缓解。该服务的用户无需采取任何行动。发布此 CVE 的目的是提供进一步的透明度。 有关更多信息,请参阅迈向更高的透明度:发布云服务 CVE。
致谢 Microsoft 感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所付出的努力。有关更多信息,请参阅致谢。
安全更新 要确定软件的支持生命周期,请参阅 Microsoft 支持生命周期。
| 发布日期 | 产品 | 平台 | 影响 | 最高严重性 | 文章 | 下载 | 内部版本号 |
|---|---|---|---|---|---|---|---|
| 2025年11月20日 | Azure Bastion | 开发者 | 权限提升 | 严重 | – | – | – |
已加载所有结果 已加载全部 1 行
免责声明 Microsoft 知识库中提供的信息“按原样”提供,不作任何担保。Microsoft 否认所有明示或暗示的担保,包括适销性和针对特定用途的适用性的担保。在任何情况下,Microsoft Corporation 或其供应商都不对任何损害承担任何责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使 Microsoft Corporation 或其供应商已被告知可能发生此类损害。有些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
修订记录
| 版本 | 修订 | 日期 | 描述 |
|---|---|---|---|
| 1.2 | 2025年11月21日 | 更新了致谢。 | |
| 1.0 | 2025年11月20日 | 信息发布。 | |
| 1.1 | 2025年11月20日 | 更正了安全更新表。仅为信息性变更。 |