概述
CVE-2025-64656是Microsoft Azure应用网关中的一个权限提升漏洞,CVSS 3.1评分为9.4分,属于严重级别。
漏洞描述
应用网关中的越界读取漏洞允许未经授权的攻击者通过网络提升权限。
漏洞时间线
- 发布日期:2025年11月26日 01:16
- 最后修改:2025年11月26日 01:16
- 远程利用:否
- 来源:secure@microsoft.com
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Microsoft | azure_app_gateway |
总计受影响厂商:1 | 产品:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.4 | CVSS 3.1 | 严重 | 3.9 | 5.5 | secure@microsoft.com |
参考资源
CWE常见弱点枚举
- CWE-125:越界读取
常见攻击模式枚举和分类(CAPEC)
- CAPEC-540:缓冲区过度读取
漏洞评分详情
CVSS 3.1
基础CVSS分数:9.4
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 无 | 未改变 | 高 | 高 | 低 |
漏洞历史记录
| 日期 | 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年11月26日 | 添加 | 标签 | 专属托管服务 | |
| 2025年11月26日 | 添加 | 描述 | 应用网关中的越界读取允许未经授权攻击者通过网络提升权限 | |
| 2025年11月26日 | 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | |
| 2025年11月26日 | 添加 | CWE | CWE-125 | |
| 2025年11月26日 | 添加 | 参考 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64656 |