CVE-2025-21415: Fallo crítico en Azure AI Face Service

Microsoft ha abordado dos vulnerabilidades de seguridad críticas que planteaban amenazas potenciales a sus servicios basados en la nube. Los parches resuelven fallas de seguridad que afectan a Azure AI Face Service y Microsoft Account, Ambos podrían haber permitido a actores maliciosos aumentar los privilegios en condiciones específicas..

Detalles de las vulnerabilidades

Las dos vulnerabilidades se identifican de la siguiente manera::

• CVE-2025-21396, Puntuación CVSS: 7.5 – Vulnerabilidad de elevación de privilegios en cuentas Microsoft
• CVE-2025-21415, Puntuación CVSS: 9.9 – Vulnerabilidad de elevación de privilegios en Azure AI Face Service

Según Microsoft, CVE-2025-21415 se debe a un problema de omisión de autenticación dentro del servicio Azure AI Face. Bajo ciertas condiciones, Un atacante autorizado podría explotar esta falla para aumentar los privilegios en una red.. La vulnerabilidad fue descubierta y reportada por un investigador anónimo..

Mientras tanto, CVE-2025-21396 es causado por comprobaciones de autorización faltantes dentro del sistema de cuentas de Microsoft. Esta falla podría permitir que un atacante no autorizado eleve privilegios en una red.. A un investigador de seguridad conocido como Sugobet se le atribuye la identificación de este problema..

Explotación y mitigación

Microsoft ha reconocido la existencia de una prueba de concepto (PoC) Código de explotación para CVE-2025-21415, confirmando que ambas vulnerabilidades han sido completamente mitigadas. En tono rimbombante, Los clientes no están obligados a realizar ninguna acción adicional, ya que Microsoft ha aplicado las actualizaciones de seguridad necesarias.