概述
CVE-2025-12176是一个由于创建未归档管理账户而导致的高危安全漏洞。
漏洞描述
为便于板上运行的应用程序访问,系统创建了未归档的管理账户。此问题影响BLU-IC2:1.19.5及之前版本;BLU-IC4:1.19.5及之前版本。
漏洞时间线
- 发布日期:2025年10月24日 16:15
- 最后修改:2025年10月24日 16:15
- 远程利用:是
- 来源:a0340c66-c385-4f8b-991b-3d05f6fd5220
受影响产品
目前尚未记录受影响的具体产品。
统计:受影响供应商总数:0 | 产品数量:0
CVSS评分
通用漏洞评分系统是评估软件和系统漏洞严重程度的标准化框架。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 10.0 | CVSS 4.0 | 严重 | - | - | - | a0340c66-c385-4f8b-991b-3d05f6fd5220 |
解决方案
移除未归档的管理账户并实施适当的认证机制。
- 禁用或移除未归档的管理账户
- 实施强访问控制策略
- 审查并保护应用程序访问方法
参考资源
| URL | 资源描述 |
|---|---|
| https://azure-access.com/security-advisories | 安全公告 |
CWE - 通用弱点枚举
CVE-2025-12176与以下CWE相关:
CWE-1242:包含未归档功能或"Chicken Bits"
常见攻击模式枚举和分类(CAPEC)
- CAPEC-36:使用未发布的接口或功能
- CAPEC-212:功能滥用
GitHub概念验证
我们在GitHub仓库中扫描新的概念验证利用。由于性能问题,结果限制为前15个仓库。
相关新闻
由于性能问题,结果限制为前20篇新闻文章。
漏洞历史记录
以下表格列出了CVE-2025-12176漏洞随时间的变化。
| 日期 | 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年10月24日 | 新增 | 描述 | - | 未归档的管理账户被创建以方便板上运行的应用程序访问。此问题影响BLU-IC2:1.19.5及之前版本;BLU-IC4:1.19.5及之前版本。 |
| 2025年10月24日 | 新增 | CVSS V4.0 | - | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| 2025年10月24日 | 新增 | CWE | - | CWE-1242 |
| 2025年10月24日 | 新增 | 参考 | - | https://azure-access.com/security-advisories |
EPSS评分
EPSS是对未来30天内观察到利用活动的概率的每日估计。下图显示了该漏洞的EPSS评分历史。
漏洞评分详情
CVSS 4.0
- 基础CVSS分数:10
| 攻击向量 | 攻击复杂性 | 攻击要求 | 所需权限 | 用户交互 | VS机密性 | VS完整性 | VS可用性 | SS机密性 | SS完整性 | SS可用性 |
|---|---|---|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 无 | 无 | 高 | 高 | 高 | 高 | 高 | 高 |