【高危漏洞预警】Microsoft Azure AI Bot Service权限提升漏洞CVE-2025-30392

cexlife 飓风网络安全 2025-05-08 03:34

漏洞描述:

Azure Bot Framework SDK中的不当授权允许未经授权的攻击者通过网络提升权限,SDK无法对某些管理终端节点实施基于角色的检查,精心设计的API 调用允许低权限帐户继承更高范围的权限,从而实现以下作,导出对话记录和机密重新配置频道或注入恶意代码启动、停止或删除生产机器人

受影响产品或系统:

Microsoft Azure AI Bot Service = 20250430

修复方案：

官方已经发布漏洞报告,请及时更新

补丁信息

补丁名称:Microsoft Azure AI Bot Service

补丁链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30392