Plataforma
azure
Componente
cognitive-service-for-language
Corregido en
2.5.4
Se ha identificado una vulnerabilidad de elevación de privilegios en Azure Cognitive Service for Language, específicamente en la funcionalidad de Preguntas y Respuestas Personalizadas. Esta falla permite a un atacante con acceso limitado obtener privilegios elevados, comprometiendo potencialmente la confidencialidad e integridad de los datos. La vulnerabilidad afecta a las versiones 1.0.0 y anteriores, y se recomienda actualizar a la versión 2.5.4 para mitigar el riesgo.
La explotación exitosa de esta vulnerabilidad permite a un atacante eludir los controles de acceso y obtener acceso no autorizado a información sensible almacenada o procesada por el servicio Azure Cognitive Service for Language. Esto podría incluir datos personales, información financiera o secretos comerciales. El atacante podría modificar la configuración del servicio, inyectar código malicioso o incluso utilizar el servicio para lanzar ataques contra otros sistemas dentro de la infraestructura de Azure. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de impacto significativo en la seguridad y la disponibilidad de los sistemas afectados. Aunque no se han reportado casos de explotación pública, la naturaleza de la vulnerabilidad y su potencial impacto justifican una atención inmediata.
La vulnerabilidad CVE-2025-64663 fue publicada el 18 de diciembre de 2025. Actualmente no se encuentra listada en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. La probabilidad de explotación se considera media, dado el impacto crítico de la vulnerabilidad y la falta de información sobre la disponibilidad de pruebas de concepto públicas. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación activa.
Organizations heavily reliant on Azure Cognitive Service for Language for processing sensitive data, particularly those using older versions (1.0.0 and earlier), are at significant risk. Those with complex access control configurations or those who have not implemented robust RBAC policies are also more vulnerable.
• azure: Review Azure Activity Logs for suspicious API calls related to the Cognitive Service for Language, specifically focusing on attempts to bypass access controls. • azure: Use Azure Security Center to monitor for unusual user activity and privilege escalation attempts. • generic web: Monitor network traffic to and from the Cognitive Service endpoint for unexpected patterns or unauthorized requests. • generic web: Review application logs for errors or anomalies that might indicate an attempted exploit.
disclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Azure Cognitive Service for Language a la versión 2.5.4 o superior. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente la configuración de Preguntas y Respuestas Personalizadas para identificar y eliminar cualquier posible vector de ataque. Implementar controles de acceso estrictos, limitando el acceso a la funcionalidad de Preguntas y Respuestas Personalizadas solo a usuarios autorizados, también puede ayudar a reducir el riesgo. Monitorear los registros del servicio en busca de actividades sospechosas, como intentos de acceso no autorizados o modificaciones inesperadas en la configuración, es crucial para detectar y responder a posibles ataques. No se han identificado soluciones alternativas o parches temporales, por lo que la actualización es la medida más efectiva.
Microsoft ha lanzado una actualización para Azure Cognitive Service for Language que corrige esta vulnerabilidad. Actualice a la versión 2.5.4 o posterior para mitigar el riesgo. Consulte la guía de actualización de Microsoft para obtener instrucciones detalladas sobre cómo aplicar la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-64663 es una vulnerabilidad de elevación de privilegios en Azure Cognitive Service for Language que permite a un atacante obtener acceso no autorizado a datos confidenciales.
Si está utilizando Azure Cognitive Service for Language en versiones 1.0.0 o anteriores, es vulnerable a esta vulnerabilidad.
La solución es actualizar Azure Cognitive Service for Language a la versión 2.5.4 o superior.
Aunque no se han reportado casos de explotación pública, la probabilidad de explotación se considera media debido a su impacto crítico.
Consulte la documentación oficial de Microsoft Azure para obtener más información sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.