Platform
azure
Component
azure-container-apps
Opgelost in
2.5.4
CVE-2025-65037 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in Azure Container Apps. Deze kwetsbaarheid, veroorzaakt door onvoldoende controle over de code generatie (code injectie), maakt ongeautoriseerde code-uitvoering over een netwerk mogelijk. De kwetsbaarheid treft versies van Azure Container Apps van 1.0.0 tot en met de huidige onveilige versies. Een upgrade naar versie 2.5.4 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2025-65037 stelt een aanvaller in staat willekeurige code uit te voeren binnen de context van de Azure Container Apps omgeving. Dit kan leiden tot volledige controle over de applicatie en de onderliggende infrastructuur. De aanvaller kan gevoelige gegevens stelen, de applicatie manipuleren, of zelfs toegang krijgen tot andere systemen binnen het netwerk. De impact is significant, aangezien de aanvaller potentieel de gehele omgeving kan compromitteren. Dit is vergelijkbaar met scenario's waarbij een aanvaller controle krijgt over een webserver en deze gebruikt om verdere aanvallen uit te voeren.
De kwetsbaarheid is openbaar bekend gemaakt op 2025-12-18. Er is momenteel geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de CRITICAL severity score duidt op een potentieel hoog risico. De kwetsbaarheid is niet opgenomen in KEV (Know Exploited Vulnerabilities) op het moment van schrijven. De EPSS (Exploit Prediction Scoring System) score zal waarschijnlijk een medium tot hoge waarde krijgen, afhankelijk van de beschikbaarheid van publieke exploits.
Organizations heavily reliant on Azure Container Apps for deploying and managing containerized applications are at significant risk. This includes those using legacy deployments of versions 1.0.0 and earlier, as well as those with less stringent network security configurations. Shared hosting environments utilizing Azure Container Apps are also particularly vulnerable.
• azure / container:
Get-AzContainerApp | Where-Object {$_.Version -lt '2.5.4'}• azure / container: Monitor Azure activity logs for suspicious processes or commands executed within container apps. • azure / container: Review network security group rules to ensure minimal necessary access to container apps. • azure / container: Check for unusual network traffic patterns originating from container apps.
disclosure
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-65037 is het upgraden van Azure Container Apps naar versie 2.5.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het isoleren van de kwetsbare omgevingen en het beperken van de netwerktoegang. Controleer de Azure Container Apps configuratie op onnodige privileges of toegangspunten. Implementeer strikte toegangscontroles en monitoring om verdachte activiteiten te detecteren. Na de upgrade, bevestig de fix door te controleren of de code injectie kwetsbaarheid niet langer aanwezig is door middel van penetratietesten of kwetsbaarheidsscans.
Microsoft ha lanzado una actualización para Azure Container Apps que mitiga la vulnerabilidad de inyección de código. Actualice su instancia de Azure Container Apps a la versión 2.5.4 o posterior para solucionar el problema. Consulte la guía de actualización de Microsoft para obtener instrucciones detalladas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-65037 is a critical Remote Code Execution vulnerability in Azure Container Apps versions 1.0.0 and earlier, allowing attackers to execute code over a network due to improper code generation control.
You are affected if you are using Azure Container Apps versions 1.0.0 or earlier. Upgrade to version 2.5.4 or later to mitigate the risk.
Upgrade Azure Container Apps to version 2.5.4 or later. If immediate upgrading is not possible, implement network segmentation and review access controls.
While no public exploits are currently available, the vulnerability's severity suggests a high probability of exploitation if a PoC is released.
Refer to the official Microsoft security advisory for CVE-2025-65037 on the Microsoft Security Response Center website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.