CVE-2025-59505 - Windows智能卡阅读器权限提升漏洞
漏洞概述
CVE编号: CVE-2025-59505
漏洞类型: 权限提升
最大严重性: 重要
弱点类型: CWE-415: 双重释放
发布日期: 2025年11月11日
分配CNA: Microsoft
影响评估
影响: 权限提升
CVSS评分: 7.8(基础评分)/ 6.8(时序评分)
CVSS向量: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
基础评分指标
| 指标 | 值 | 描述 |
|---|---|---|
| 攻击向量 | 本地 | 攻击者需要通过本地访问目标系统 |
| 攻击复杂度 | 低 | 无需特殊访问条件,攻击可重复成功 |
| 所需权限 | 低 | 攻击者需要具备基本用户权限 |
| 用户交互 | 无 | 无需用户交互即可利用漏洞 |
| 范围 | 未更改 | 漏洞仅影响同一安全权限管理的资源 |
| 机密性 | 高 | 完全丧失机密性,所有资源泄露给攻击者 |
| 完整性 | 高 | 完全丧失完整性,攻击者可修改所有受保护文件 |
| 可用性 | 高 | 完全丧失可用性,攻击者可完全拒绝资源访问 |
时序评分指标
| 指标 | 值 | 描述 |
|---|---|---|
| 漏洞利用成熟度 | 未验证 | 无公开可用的漏洞利用代码 |
| 修复级别 | 官方修复 | 供应商已提供完整的解决方案 |
| 报告可信度 | 已确认 | 存在详细报告,可功能性复现 |
执行摘要
Windows智能卡中的双重释放漏洞允许经过授权的攻击者在本地提升权限。
可利用性评估
公开披露: 否
已被利用: 否
可利用性评估: 利用可能性较低
常见问题解答
攻击者成功利用此漏洞可获得什么权限?
成功利用此漏洞的攻击者可获得SYSTEM权限。
安全更新
以下为受影响系统的安全更新信息:
| 发布日期 | 产品 | 平台 | 影响 | 最大严重性 | 知识库文章 | 下载 | 构建编号 |
|---|---|---|---|---|---|---|---|
| 2025年11月11日 | Windows Server 2012 R2(服务器核心安装) | - | 权限提升 | 重要 | 5068905 | 月度汇总 | 6.3.9600.22869 |
| 2025年11月11日 | Windows Server 2012 R2 | - | 权限提升 | 重要 | 5068905 | 月度汇总 | 6.3.9600.22869 |
| 2025年11月11日 | Windows Server 2012(服务器核心安装) | - | 权限提升 | 重要 | 5068907 | 月度汇总 | 6.2.9200.25768 |
| 2025年11月11日 | Windows Server 2012 | - | 权限提升 | 重要 | 5068907 | 月度汇总 | 6.2.9200.25768 |
致谢
匿名研究人员
Microsoft感谢安全社区通过协调漏洞披露帮助我们保护客户所做的努力。
免责声明
Microsoft知识库中提供的信息"按原样"提供,不提供任何形式的担保。Microsoft否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft公司或其供应商都不对任何损害承担责任,包括直接、间接、偶然、后果性、商业利润损失或特殊损害,即使Microsoft公司或其供应商已被告知可能发生此类损害。
修订历史
版本1.0 - 2025年11月11日:信息发布。