Plataforma
azure
Componente
cognitive-service-for-language
Corrigido em
2.5.4
A vulnerabilidade CVE-2025-64663 é uma falha de elevação de privilégios identificada no Azure Cognitive Service for Language. Essa falha permite que um atacante contorne as restrições de acesso e obtenha privilégios não autorizados dentro do serviço. A vulnerabilidade afeta versões 1.0.0 e anteriores, sendo crucial a atualização para a versão 2.5.4 para mitigar o risco.
Um atacante explorando essa vulnerabilidade pode obter acesso não autorizado a dados confidenciais e funcionalidades do Azure Cognitive Service for Language. Isso pode incluir a leitura, modificação ou exclusão de dados, bem como a execução de ações em nome de outros usuários. O impacto potencial é significativo, especialmente em cenários onde o serviço é usado para processar informações sensíveis ou controlar sistemas críticos. A elevação de privilégios pode levar a uma violação completa da confidencialidade, integridade e disponibilidade dos dados e sistemas afetados. A exploração bem-sucedida pode permitir o acesso a outros recursos da Azure, dependendo da configuração e permissões concedidas ao serviço.
A vulnerabilidade foi divulgada em 2025-12-18. Não há informações disponíveis sobre a existência de um Proof of Concept (PoC) público no momento. A CISA ainda não adicionou essa vulnerabilidade ao KEV (Known Exploited Vulnerabilities) catalog. A probabilidade de exploração é considerada média, dada a severidade crítica e a falta de PoCs públicos, mas a ausência no KEV sugere que a exploração ativa ainda não foi amplamente observada.
Organizations heavily reliant on Azure Cognitive Service for Language for processing sensitive data, particularly those using older versions (1.0.0 and earlier), are at significant risk. Those with complex access control configurations or those who have not implemented robust RBAC policies are also more vulnerable.
• azure: Review Azure Activity Logs for suspicious API calls related to the Cognitive Service for Language, specifically focusing on attempts to bypass access controls. • azure: Use Azure Security Center to monitor for unusual user activity and privilege escalation attempts. • generic web: Monitor network traffic to and from the Cognitive Service endpoint for unexpected patterns or unauthorized requests. • generic web: Review application logs for errors or anomalies that might indicate an attempted exploit.
disclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-64663 é a atualização imediata para a versão 2.5.4 do Azure Cognitive Service for Language. Caso a atualização imediata não seja possível devido a dependências ou interrupções de serviço, considere implementar controles de acesso mais rigorosos para limitar o escopo de impacto em caso de exploração. Revise as permissões concedidas ao serviço e aplique o princípio do menor privilégio. Monitore logs de auditoria para detectar atividades suspeitas e implemente regras de firewall para restringir o acesso à rede. A Microsoft também pode fornecer orientações adicionais e atualizações de segurança, portanto, consulte a documentação oficial.
Microsoft lançou uma atualização para o Azure Cognitive Service for Language que corrige esta vulnerabilidade. Atualize para a versão 2.5.4 ou posterior para mitigar o risco. Consulte o guia de atualização da Microsoft para obter instruções detalhadas sobre como aplicar a atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-64663 is a critical elevation of privilege vulnerability in Azure Cognitive Service for Language, allowing attackers to bypass access controls and gain unauthorized access.
Yes, if you are using Azure Cognitive Service for Language version 1.0.0 or earlier, you are affected by this vulnerability.
Upgrade to version 2.5.4 of Azure Cognitive Service for Language. Review Microsoft's documentation for potential breaking changes before upgrading.
While no public exploits are currently available, the vulnerability's criticality suggests a high probability of exploitation. Monitor security advisories.
Refer to the official Microsoft Security Update Guide for details: [https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64663](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64663)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.