CVE-2025-55232 - 微软高性能计算(HPC) Pack远程代码执行漏洞
漏洞概述
CVE编号: CVE-2025-55232
发布日期: 2025年9月9日
最后更新: 2025年9月25日
分配CNA: Microsoft
最大严重性: 重要
弱点类型: CWE-502: 不可信数据反序列化
CVSS评分详情
CVSS 3.1向量: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
基础评分: 9.8 / 10
时序评分: 8.5 / 10
基础评分指标
| 指标 | 值 | 描述 |
|---|---|---|
| 攻击向量 | 网络 | 易受攻击的组件绑定到网络堆栈,可能的攻击者范围扩展到整个互联网 |
| 攻击复杂度 | 低 | 不存在专门的访问条件或减轻情况,攻击者可以预期对易受攻击组件的可重复成功 |
| 所需权限 | 无 | 攻击者在攻击前未经授权,因此不需要任何设置或文件访问权限 |
| 用户交互 | 无 | 无需任何用户交互即可利用易受攻击的系统 |
| 范围 | 未更改 | 被利用的漏洞只能影响由同一安全机构管理的资源 |
| 机密性影响 | 高 | 完全丧失机密性,导致受影响组件内的所有资源都被泄露给攻击者 |
| 完整性影响 | 高 | 完全丧失完整性,攻击者能够修改受影响组件保护的任何/所有文件 |
| 可用性影响 | 高 | 完全丧失可用性,攻击者能够完全拒绝对受影响组件中资源的访问 |
时序评分指标
| 指标 | 值 | 描述 |
|---|---|---|
| 漏洞利用成熟度 | 未验证 | 没有公开可用的漏洞利用代码,或者漏洞利用是理论性的 |
| 修复级别 | 官方修复 | 提供完整的供应商解决方案,供应商已发布官方补丁或升级可用 |
| 报告可信度 | 已确认 | 存在详细报告或可以进行功能复现,源代码可用于独立验证研究断言 |
执行摘要
微软高性能计算包(HPC Pack)中的不可信数据反序列化允许未经授权的攻击者通过网络执行代码。
可利用性评估
公开披露: 否
已被利用: 否
可利用性评估: 利用可能性较低
缓解措施
客户应确保HPC Pack集群在受防火墙规则保护的可信网络中运行,特别是针对TCP端口5999。
常见问题解答
客户需要做什么来缓解此漏洞?
如果您当前正在使用HPC Pack 2019 Update 2,需要升级到HPC Pack 2019 Update 3(版本6.3.8328),然后应用QFE补丁(版本6.3.8352)。
如果您当前正在使用HPC Pack 2016,必须迁移到2019版本以获得修复,因为没有从2016到2019的就地更新。
攻击者如何利用此漏洞?
成功利用此漏洞的攻击者可以在无需用户交互的情况下实现远程代码执行。
致谢
Dennis Carlson with Abacus Group LLC https://www.abacusgroupllc.com/
微软感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的努力。
安全更新
| 发布日期 | 产品 | 平台 | 影响 | 最大严重性 | 构建号 |
|---|---|---|---|---|---|
| 2025年9月9日 | Microsoft HPC Pack 2019 | - | 远程代码执行 | 重要 | 6.3.8352 Quick Fix QFE |
修订历史
版本1.1 - 2025年9月25日
添加了致谢信息。这仅是信息性更改。
版本1.0 - 2025年9月9日
信息发布。