Podatność w usłudze Microsoft Azure Machine Learning umożliwia uwierzytelnionemu atakującemu nieautoryzowane podniesienie uprawnień przez sieć. Ocena CVSS 9.9 wskazuje na krytyczny poziom zagrożenia z potencjalnym wpływem na poufność, integralność i dostępność zasobów.
▸ Pokaż oryginał (EN)
Improper authorization in Azure allows an authorized attacker to elevate privileges over a network.
Błąd polega na nieprawidłowej autoryzacji (CWE-285) w usłudze Microsoft Azure Machine Learning. Uwierzytelniony atakujący, posiadający jedynie podstawowe uprawnienia sieciowe, jest w stanie obejść mechanizmy kontroli dostępu i uzyskać wyższy poziom uprawnień niż mu przysługuje. Atak nie wymaga interakcji po stronie użytkownika ani złożonych warunków wstępnych, a jego zakres wykracza poza pierwotnie skompromitowany kontekst (Scope: Changed).
Atakujący może uzyskać podwyższone uprawnienia w środowisku Azure Machine Learning, co może prowadzić do pełnego naruszenia poufności, integralności i dostępności przetwarzanych danych oraz zasobów obliczeniowych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o aktualizacjach dostępne są w Microsoft Security Response Center pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30390
Microsoft Azure Machine Learning — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HMicrosoft Azure Machine Learning
APPMicrosoftwszystkie wersje
Powiązane podatności
Privilege escalation w Azure Machine Learning przez błąd autoryzacji
Brak autoryzacji w Azure Machine Learning umożliwia privilege escalation
Improper neutralization of special elements in output used by a downstream component ('injection') in Azure Ma...
Improper neutralization of input during web page generation ('cross-site scripting') in Azure Machine Learning...
Weak authentication in Azure Machine Learning allows an authorized attacker to elevate privileges over a netwo...