CRITICALCVE-2025-59503CVSS 10

Azure Compute Resource Provider 特権昇格の脆弱性

プラットフォーム

azure

コンポーネント

azure-compute-resource-provider

AI Confidence:

high

NVD

EPSS 0.2%

レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-59503 は、Microsoft Azure Compute Gallery の Azure Compute Resource Provider におけるサーバーサイドリクエストフォージェリ (SSRF) の脆弱性です。この脆弱性を悪用されると、認証されていない攻撃者はネットワーク上で権限を昇格させることが可能になります。影響を受けるバージョンは現時点では特定されていません。修正はまだ提供されていません。

影響と攻撃シナリオ

この SSRF 脆弱性は、攻撃者が内部リソースへのアクセスを試みることを可能にします。攻撃者は、Azure Compute Gallery を介して、本来アクセスできない内部サービスや API にリクエストを送信できます。これにより、機密情報の漏洩、設定の変更、さらにはシステムへの完全な制御の獲得につながる可能性があります。攻撃者は、この脆弱性を利用して、他の Azure サービスへの攻撃の足がかりとして利用したり、内部ネットワークへの横展開を試みたりする可能性があります。この脆弱性の影響範囲は非常に広く、Azure 環境全体に及ぶ可能性があります。

悪用の状況

CVE-2025-59503 は 2025年10月23日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF は一般的に悪用されやすい脆弱性であり、早期の悪用が懸念されます。EPSS スコアは、この脆弱性の悪用確率が高いことを示唆しています。NVD および CISA の情報も確認し、最新の情報を把握することが重要です。

リスク対象者翻訳中…

Organizations heavily reliant on Azure Compute Gallery for managing virtual machine images and deployments are at significant risk. This includes DevOps teams, cloud architects, and anyone responsible for managing Azure infrastructure. Environments with complex network configurations and lax outbound traffic controls are particularly vulnerable.

攻撃タイムライン

2025-10-23Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.20% (41% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントazure-compute-resource-provider

ベンダーMicrosoft

影響範囲修正版

- – -—

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-09-17
公開日2025-10-23
更新日2026-02-26
EPSS 更新日2026-03-23

未パッチ — 公開から213日経過

緩和策と回避策

現時点では、Microsoft から公式な修正プログラムは提供されていません。そのため、以下の緩和策を検討する必要があります。まず、Azure Compute Gallery へのアクセスを厳格に制限し、必要なユーザーのみにアクセス権を付与してください。ネットワークセキュリティグループ (NSG) を使用して、不要なトラフィックをブロックし、Azure Compute Gallery へのアクセスを許可されたネットワークのみに制限します。また、Web Application Firewall (WAF) を導入し、SSRF 攻撃を検出し、ブロックするルールを設定することを推奨します。Azure Policy を使用して、Compute Gallery の設定を監視し、不審な設定がないか確認します。Azure Security Center などのセキュリティ監視サービスを利用して、異常なアクティビティを検知し、対応します。

修正方法

Azure Compute Resource Provider を Microsoft が提供する最新バージョンにアップデートしてください。これにより SSRF の脆弱性を軽減し、不正な権限昇格を防ぎます。詳細なアップデート手順については、Microsoft のアドバイザリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-59503 とは何ですか？（Azure Compute Resource Provider の SSRF）

CVE-2025-59503 は、Azure Compute Gallery の Azure Compute Resource Provider におけるサーバーサイドリクエストフォージェリ (SSRF) の脆弱性です。

Azure Compute Resource Provider の CVE-2025-59503 による影響を受けていますか？

Azure Compute Gallery を利用している場合は、影響を受ける可能性があります。特に、Compute Gallery へのアクセス制御が不十分な場合は注意が必要です。

Azure Compute Resource Provider の CVE-2025-59503 を修正するにはどうすればよいですか？

現時点では公式な修正プログラムは提供されていません。アクセス制限、WAF の導入、Azure Policy の設定など、緩和策を適用してください。

CVE-2025-59503 は積極的に悪用されていますか？

現時点では具体的な悪用事例は報告されていませんが、SSRF は悪用されやすい脆弱性であるため、早期の悪用が懸念されます。

CVE-2025-59503 に関する Azure Compute Resource Provider の公式アドバイザリはどこで確認できますか？

Microsoft Security Response Center (MSRC) の公式発表や、NVD (National Vulnerability Database) などの情報源を参照してください。

NextGuard

脆弱性

これらのメトリクスの意味は？

Attack Vector: ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity: 低 — 特別な条件不要。安定して悪用可能。
Privileges Required: なし — 認証不要。資格情報なしで悪用可能。
User Interaction: なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope: 変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality: 高 — 機密性の完全喪失。全データが読み取り可能。
Integrity: 高 — 任意のデータの書き込み・変更・削除が可能。
Availability: 高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン CVEを検索