CVE-2025-49752 to krytyczna podatność typu privilege escalation (elevation of privilege) w Microsoft Azure Bastion, umożliwiająca nieuwierzytelnionemu atakującemu zdalnie uzyskanie podwyższonych uprawnień. Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją wyjątkowo poważnym zagrożeniem dla środowisk chmurowych Azure.
▸ Pokaż oryginał (EN)
Azure Bastion Elevation of Privilege Vulnerability
Podatność jest sklasyfikowana jako CWE-294 (Authentication Bypass by Capture-replay), co oznacza, że atakujący może przechwycić lub odtworzyć dane uwierzytelniające bądź tokeny sesji w celu ominięcia mechanizmów kontroli dostępu. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji użytkownika, a zakres oddziaływania przekracza granice atakowanego komponentu (Scope: Changed). Oznacza to, że skutki eksploitacji mogą wykraczać poza sam komponent Azure Bastion i wpływać na zasoby powiązane.
Pomyślna eksploitacja umożliwia atakującemu uzyskanie podwyższonych uprawnień w środowisku Azure, co może prowadzić do nieautoryzowanego dostępu do chronionych zasobów, ich modyfikacji lub częściowego zakłócenia dostępności — przy pełnym naruszeniu poufności i integralności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Microsoft Security Response Center pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49752. Jako usługa zarządzana przez Microsoft, Azure Bastion może otrzymać aktualizacje automatycznie po stronie platformy — zaleca się weryfikację statusu w portalu Azure oraz śledzenie komunikatów MSRC.
Microsoft Azure Bastion Developer — wersje wskazane w referencjach producenta (Microsoft Security Response Center).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:LMicrosoft Azure Bastion Developer
APPMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server
RCE w Windows Server Update Service (WSUS) — deserializacja danych
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
RCE przez deserialization w Microsoft SharePoint Server (on-premises)