CVE-2025-12977 - 安全更新指南 - Microsoft
CVE-2025-12977
安全漏洞 发布日期: 2025年11月29日 最后更新: 2025年12月4日 分配 CNA: certcc CVE.org 链接: CVE-2025-12977
弱点 CWE-1287: 对指定输入类型的验证不当
CVSS 来源 CISA ADP
向量字符串 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
度量指标 CVSS:3.1 9.1 / 9.1 基础评分指标:9.1 / 时间评分指标:9.1
| 度量指标 | 值 | 描述 |
|---|---|---|
| 攻击向量 | 网络 | 易受攻击的组件绑定到网络堆栈,可能的攻击者范围超出其他列出的选项,直至并包括整个互联网。此类漏洞通常被称为“可远程利用”,可以认为攻击可在协议级别上,经过一个或多个网络跃点(例如,跨越一个或多个路由器)进行利用。 |
| 攻击复杂性 | 低 | 不存在特殊的访问条件或可减轻的情况。攻击者可以预期对易受攻击的组件进行可重复的成功攻击。 |
| 所需权限 | 无 | 攻击者在攻击前未获授权,因此不需要任何对设置或文件的访问权限即可实施攻击。 |
| 用户交互 | 无 | 易受攻击的系统可以在没有任何用户交互的情况下被利用。 |
| 范围 | 未更改 | 被利用的漏洞只能影响由同一安全机构管理的资源。在这种情况下,易受攻击的组件和受影响的组件要么相同,要么都由同一安全机构管理。 |
| 机密性影响 | 高 | 存在完全的机密性丧失,导致受影响组件内的所有资源都泄露给攻击者。或者,仅获取了一些受限信息的访问权,但披露的信息造成了直接、严重的影响。 |
| 完整性影响 | 高 | 存在完全的完整性丧失,或完全的保护丧失。例如,攻击者能够修改受影响的组件保护的任何/所有文件。或者,只能修改某些文件,但恶意修改将对受影响的组件造成直接、严重的后果。 |
| 可用性影响 | 无 | 对受影响组件内的可用性没有影响。 |
有关这些指标定义的更多信息,请参阅《通用漏洞评分系统》。
致谢 Microsoft 感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所做的努力。更多信息请参阅《致谢》。
安全更新 要确定软件的支持生命周期,请参阅《Microsoft 支持生命周期》。
| 发布日期 | 产品 | 平台 | 影响 | 最高严重性 | 文章 | 下载 | 内部版本号 |
|---|---|---|---|---|---|---|---|
| 2025年11月29日 | cbl2 fluent-bit 3.0.6-4 | CBL Mariner 2.0 | 重要 | 重要 | 1 个链接 | 安全更新 | 3.0.6-6 |
| 2025年11月29日 | azl3 fluent-bit 3.1.9-6 | Azure Linux 3.0 | 重要 | 重要 | – | – | - |
免责声明 Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。Microsoft 否认所有明示或默示的担保,包括适销性和针对特定用途的适用性的担保。在任何情况下,对于任何损害,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使 Microsoft Corporation 或其供应商已被告知发生此类损害的可能性,Microsoft Corporation 或其供应商也不承担任何责任。某些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
修订记录
| 版本 | 修订日期 | 描述 |
|---|---|---|
| 2.0 | 2025年12月4日 | 信息发布。 |
| 1.0 | 2025年11月29日 | 信息发布。 |