प्लेटफ़ॉर्म
azure
घटक
cognitive-service-for-language
में ठीक किया गया
2.5.4
Azure Cognitive Service for Language में एक विशेषाधिकार वृद्धि भेद्यता (Elevation of Privilege vulnerability) पाई गई है। इस भेद्यता का फायदा उठाकर, एक हमलावर अनधिकृत पहुंच प्राप्त कर सकता है और सिस्टम पर नियंत्रण कर सकता है। यह भेद्यता Azure Cognitive Service for Language के संस्करण 1.0.0 और उससे पहले के संस्करणों को प्रभावित करती है। 2.5.4 संस्करण में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को अनधिकृत पहुंच प्राप्त करने और संवेदनशील डेटा तक पहुंचने की अनुमति देती है। वे सिस्टम को नियंत्रित करने, डेटा को संशोधित करने या हटाने, और अन्य दुर्भावनापूर्ण गतिविधियाँ करने में सक्षम हो सकते हैं। इस भेद्यता का फायदा उठाकर, हमलावर Azure Cognitive Service for Language का उपयोग करके अन्य प्रणालियों तक भी पहुंच प्राप्त कर सकते हैं। यह भेद्यता विशेष रूप से उन संगठनों के लिए गंभीर है जो Azure Cognitive Service for Language का उपयोग महत्वपूर्ण कार्यों के लिए करते हैं, जैसे कि ग्राहक डेटा को संसाधित करना या वित्तीय लेनदेन को संसाधित करना। इस भेद्यता का शोषण लॉग4शेल जैसी अन्य भेद्यताओं के समान पैटर्न का पालन कर सकता है, जिससे व्यापक प्रभाव हो सकता है।
यह CVE अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है। यह CVE 2025-12-18 को प्रकाशित किया गया था।
Organizations heavily reliant on Azure Cognitive Service for Language for processing sensitive data, particularly those using older versions (1.0.0 and earlier), are at significant risk. Those with complex access control configurations or those who have not implemented robust RBAC policies are also more vulnerable.
• azure: Review Azure Activity Logs for suspicious API calls related to the Cognitive Service for Language, specifically focusing on attempts to bypass access controls. • azure: Use Azure Security Center to monitor for unusual user activity and privilege escalation attempts. • generic web: Monitor network traffic to and from the Cognitive Service endpoint for unexpected patterns or unauthorized requests. • generic web: Review application logs for errors or anomalies that might indicate an attempted exploit.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Azure Cognitive Service for Language को संस्करण 2.5.4 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके अनधिकृत पहुंच को रोकने का प्रयास कर सकते हैं। इसके अतिरिक्त, आप अपने सिस्टम को सुरक्षित करने के लिए सख्त पहुंच नियंत्रण और प्रमाणीकरण नीतियों को लागू कर सकते हैं। Azure पोर्टल में सुरक्षा सेटिंग्स की समीक्षा करें और सुनिश्चित करें कि सभी आवश्यक सुरक्षा सुविधाएँ सक्षम हैं। भेद्यता का पता लगाने के लिए सुरक्षा लॉग की नियमित रूप से निगरानी करें।
Microsoft ने Azure Cognitive Service for Language के लिए एक अपडेट जारी किया है जो इस भेद्यता को ठीक करता है। जोखिम को कम करने के लिए संस्करण 2.5.4 या बाद के संस्करण में अपडेट करें। अपडेट लागू करने के तरीके के बारे में विस्तृत निर्देशों के लिए Microsoft के अपडेट गाइड देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-64663 Azure Cognitive Service for Language में एक विशेषाधिकार वृद्धि भेद्यता है जो हमलावरों को अनधिकृत पहुंच प्राप्त करने की अनुमति देती है।
यदि आप Azure Cognitive Service for Language के संस्करण 1.0.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Azure Cognitive Service for Language को संस्करण 2.5.4 या बाद के संस्करण में तुरंत अपडेट करें।
हालांकि अभी तक कोई सार्वजनिक शोषण नहीं देखा गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है।
आप Microsoft सुरक्षा प्रतिक्रिया केंद्र पर आधिकारिक सलाहकार पा सकते हैं: [https://msrc.microsoft.com/update/detail/CVE-2025-64663](https://msrc.microsoft.com/update/detail/CVE-2025-64663)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।