CVSS 評分 9.9/10：微軟火速修復(fù) Azure AI 人臉識別服務(wù)高危漏洞

IT之家 2 月 5 日消息，科技媒體 scworld 昨日（2 月 4 日）發(fā)布博文，報道稱微軟修復(fù)了 Azure AI 人臉識別漏洞，該漏洞 CVSS 評分高達(dá) 9.9（滿分為 10 分），是遠(yuǎn)程提權(quán)漏洞。

IT之家注：Azure AI 人臉識別是一項(xiàng)基于云的人臉識別服務(wù)，能夠檢測、分析和識別人臉。開發(fā)者可以使用該服務(wù)將人臉識別功能集成到應(yīng)用程序中，用于生物識別身份驗(yàn)證、活體檢測、非接觸式訪問控制或自動編輯視頻中的人臉等用途。

該漏洞編號為 CVE-2025-21415，被歸類為欺騙性身份驗(yàn)證繞過漏洞，根據(jù)微軟安全響應(yīng)中心（MSRC）上周發(fā)布的安全更新，該漏洞允許“授權(quán)攻擊者”提升權(quán)限。

攻擊者可以遠(yuǎn)程利用該漏洞，且攻擊復(fù)雜度被歸類為低，無需受害用戶進(jìn)行任何交互。該漏洞對機(jī)密性和系統(tǒng)完整性構(gòu)成高度威脅，可能導(dǎo)致合法用戶完全無法使用該服務(wù)，因此 CVSS 評分高達(dá) 9.9。

MSRC 表示目前沒有證據(jù)表明已經(jīng)有黑客利用該漏洞，但存在概念驗(yàn)證漏洞利用程序。消息稱匿名開發(fā)者向微軟報告該漏洞，微軟及時部署修復(fù)程序，無需客戶采取任何行動即可解決該漏洞。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。