- شناسه CVE-2025-49746 :CVE
- CWE-285 :CWE
- yes :Advisory
- منتشر شده: جولای 18, 2025
- به روز شده: جولای 18, 2025
- امتیاز: 9.9
- نوع حمله: Unknown
- اثر گذاری: Privilege Escalation
- حوزه: سیستمهای مجازیسازی و مدیریت ابری
- برند: Microsoft
- محصول: Azure Machine Learning
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری به دلیل مجوزدهی نادرست در Azure Machine Learning به مهاجم مجاز امکان افزایش سطح دسترسی از طریق شبکه را میدهد.
توضیحات
این آسیبپذیری بحرانی در سرویس Azure Machine Learning به دلیل مجوزدهی نادرست (CWE-285) ایجاد شده است. این آسیب پذیری به مهاجم با سطح دسترسی پایین اجازه میدهد تا از طریق شبکه سطح دسترسی خود را افزایش دهد که این امر بر محرمانگی، یکپارچگی و در دسترس پذیری سیستم تأثیر میگذارد. طبق اعلام رسمی مایکروسافت، این آسیب پذیری در زیرساخت ابری Azure به طورکامل برطرف شده و نیازی به انجام اقدام خاصی از سوی کاربران وجود ندارد.
CVSS
Score | Severity | Version | Vector String |
9.9 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C |
نتیجه گیری
با توجه به برطرف شدن کامل این آسیب پذیری توسط مایکروسافت و عدم نیاز به اقدام از سوی کاربران، توصیه می شود صرفاً از به روز بودن سیاست های مجوزدهی و کنترل دسترسی در محیط های ابری اطمینان حاصل شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-49746
- https://www.cvedetails.com/cve/CVE-2025-49746/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49746
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-49746
- https://vuldb.com/?id.316909
- https://nvd.nist.gov/vuln/detail/CVE-2025-49746
- https://cwe.mitre.org/data/definitions/285.html