プラットフォーム
azure
コンポーネント
cognitive-service-for-language
修正版
2.5.4
Azure Cognitive Service for LanguageのCustom Question Answering機能において、特権昇格の脆弱性が確認されました。この脆弱性を悪用されると、攻撃者は本来許可されていない操作を実行し、システムへの不正アクセスを試みる可能性があります。影響を受けるバージョンは1.0.0から2.5.3です。Microsoftはバージョン2.5.4でこの問題を修正しました。
この脆弱性は、攻撃者がCustom Question Answeringの仕組みを悪用し、本来アクセスできないリソースや機能にアクセスする特権を昇格させることを可能にします。具体的には、認証されていないユーザーが管理者の権限で操作を実行したり、機密データにアクセスしたりする可能性があります。攻撃者は、この脆弱性を利用して、Azure Cognitive Service for Languageの環境全体を制御下に置くことも考えられます。この脆弱性の悪用は、データ漏洩、システム改ざん、サービス停止などの深刻な結果を招く可能性があります。
この脆弱性は、2025年12月18日に公開されました。現時点では、公的に利用可能なエクスプロイトコードは確認されていませんが、特権昇格の脆弱性であるため、悪用される可能性は高いと考えられます。CISAのKEVリストへの登録状況は不明です。攻撃者は、この脆弱性を悪用して、Azure Cognitive Service for Languageの環境に侵入し、機密情報を窃取する可能性があります。
Organizations heavily reliant on Azure Cognitive Service for Language for processing sensitive data, particularly those using older versions (1.0.0 and earlier), are at significant risk. Those with complex access control configurations or those who have not implemented robust RBAC policies are also more vulnerable.
• azure: Review Azure Activity Logs for suspicious API calls related to the Cognitive Service for Language, specifically focusing on attempts to bypass access controls. • azure: Use Azure Security Center to monitor for unusual user activity and privilege escalation attempts. • generic web: Monitor network traffic to and from the Cognitive Service endpoint for unexpected patterns or unauthorized requests. • generic web: Review application logs for errors or anomalies that might indicate an attempted exploit.
disclosure
エクスプロイト状況
EPSS
0.06% (18% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、Azure Cognitive Service for Languageをバージョン2.5.4にアップグレードすることです。アップグレードが直ちに困難な場合は、Custom Question Answering機能の使用を一時的に停止するか、アクセス制御を強化して、不正なアクセスを制限することを検討してください。Azure Active Directory (Azure AD) の条件付きアクセスポリシーを使用して、特定のユーザーやアプリケーションからのアクセスを制限することも有効です。また、Azure Security Centerのセキュリティ推奨事項を確認し、脆弱性スキャンを定期的に実行することで、潜在的なリスクを早期に発見できます。
Microsoftは、この脆弱性を修正するAzure Cognitive Service for Languageのアップデートをリリースしました。リスクを軽減するために、バージョン2.5.4以降にアップデートしてください。詳細な適用手順については、Microsoftのアップデートガイドを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-64663は、Azure Cognitive Service for LanguageのCustom Question Answering機能における特権昇格の脆弱性です。攻撃者はこの脆弱性を悪用して、本来許可されていない操作を実行する可能性があります。
Azure Cognitive Service for LanguageのCustom Question Answering機能をバージョン1.0.0から2.5.3で利用している場合は、影響を受ける可能性があります。
Azure Cognitive Service for Languageをバージョン2.5.4にアップグレードすることで修正できます。
現時点では、公的に利用可能なエクスプロイトコードは確認されていませんが、悪用される可能性は高いと考えられます。
Microsoftのセキュリティアドバイザリページで確認できます。詳細はMicrosoftの公式ドキュメントを参照してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。