5月8日微軟發布資安公告,表示他們近期修補Azure DevOps、Azure Automation、Azure Storage、Power Apps的重大漏洞,其中有3項弱點特別危險,風險分數接近滿分10分而受到關注。
其中最嚴重的漏洞是CVE-2025-29813,此為Azure DevOps權限提升漏洞,起因是Visual Studio對於管線工作(Pipeline Job)所使用的Token,出現處理不當的情況,一旦攻擊者成功利用,就可能存取特定的專案,CVSS風險達到10分。不過,利用這項弱點存在必要條件,那就是攻擊者必須事先存取專案,並置換特定的Token。
另外兩個風險達到9.9分的漏洞CVE-2025-29827、CVE-2025-29972,分別存在於Azure Automation與Azure Storage。其中,CVE-2025-29827為權限提升漏洞,而CVE-2025-29972則是伺服器請求偽造(SSRF)漏洞,可被用於欺騙資源供應者。
至於存在於Power Apps的資訊洩露漏洞CVE-2025-47733,也涉及伺服器請求偽造,CVSS風險評為9.1。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-12-01
2025-12-04
2025-11-30
Advertisement