Microsoft Patches Azure Azure AI Vulnerabilidad de servicio facial con puntaje CVSS 9.9

04 de febrero de 2025Las noticias del hackerVulnerabilidad / seguridad en la nube

Microsoft ha lanzado parches para abordar dos defectos de seguridad con calificación crítica que afectan el servicio facial Azure AI y la cuenta de Microsoft que podría permitir que un actor malicioso intensifique sus privilegios bajo ciertas condiciones.

Los defectos se enumeran a continuación –

• CVE-2025-21396 (Puntuación CVSS: 7.5) – Vulnerabilidad de la altura de la cuenta de la cuenta de Microsoft
• CVE-2025-21415 (Puntuación CVSS: 9.9) – Azure AI Face Service Elevación de privilegios vulnerabilidad

“La autenticación se deriva al falsificar en el servicio facial Azure AI le permite a un atacante autorizado elevar los privilegios a través de una red”, Microsoft en un aviso para CVE-2025-21415, acreditando a un investigador anónimo por informar la falla.

CVE-2025-21396, por otro lado, proviene de un caso de autorización faltante que podría permitir que un atacante no autorizado elevara los privilegios a través de una red. Se ha reconocido a un investigador de seguridad que pasa por el alias Sugobet por descubrirlo.

El gigante tecnológico también señaló que es consciente de la existencia de un código de explotación de prueba de concepto (POC) para CVE-2025-21415, y agregó que ambas vulnerabilidades se han mitigado por completo. Las deficiencias no requieren acción del cliente.

Los avisos son parte de los esfuerzos continuos de Microsoft para mejorar la transparencia mediante la emisión de CVE para vulnerabilidades críticas de servicios en la nube, independientemente de si los clientes deben instalar un parche o tomar otras acciones para asegurarse.

“A medida que nuestra industria madura y migra cada vez más a los servicios basados ​​en la nube, debemos ser transparentes sobre las vulnerabilidades de ciberseguridad significativas que se encuentran y fijadas”, “TI” anotado en junio de 2024.

“Al compartir abiertamente información sobre las vulnerabilidades que se descubren y resueltos, permitimos que Microsoft y nuestros socios aprendan y mejoren. Este esfuerzo de colaboración contribuye a la seguridad y la resistencia de nuestra infraestructura crítica”.