
Microsoft telah merilis tambalan untuk mengatasi dua kelemahan keamanan berperingkat kritis yang berdampak pada Azure AI Face Service dan akun Microsoft yang dapat memungkinkan aktor jahat untuk meningkatkan hak istimewa mereka dalam kondisi tertentu.
Kelemahan tercantum di bawah ini –
- CVE-2025-21396 (Skor CVSS: 7.5) – Peningkatan Akun Microsoft Kerentanan Privilege
- CVE-2025-21415 (Skor CVSS: 9.9) – Azure AI Face Service Elevation of Privilege Volnerability
“Bypass otentikasi dengan spoofing di Azure AI Face Service memungkinkan penyerang resmi untuk meningkatkan hak istimewa atas jaringan,” Microsoft dalam penasihat untuk CVE-2025-21415, mengkredit seorang peneliti anonim karena melaporkan cacat.

CVE-2025-21396, di sisi lain, berasal dari kasus otorisasi yang hilang yang dapat mengizinkan penyerang yang tidak sah untuk meningkatkan hak istimewa atas jaringan. Seorang peneliti keamanan yang menggunakan alias Sugobet telah diakui untuk menemukannya.
Raksasa teknologi itu juga mencatat bahwa mereka menyadari adanya kode eksploitasi Proof-of-Concept (POC) untuk CVE-2025-21415, menambahkan kedua kerentanan telah sepenuhnya dimitigasi. Kekurangan tidak memerlukan tindakan pelanggan.
Penasihat adalah bagian dari upaya berkelanjutan Microsoft untuk meningkatkan transparansi dengan menerbitkan CVE untuk kerentanan layanan cloud yang kritis, terlepas dari apakah pelanggan perlu memasang tambalan atau mengambil tindakan lain untuk mengamankan diri.
“Ketika industri kami matang dan semakin bermigrasi ke layanan berbasis cloud, kami harus transparan tentang kerentanan keamanan siber yang signifikan yang ditemukan dan diperbaiki,” katanya pada Juni 2024.
“Dengan berbagi informasi secara terbuka tentang kerentanan yang ditemukan dan diselesaikan, kami memungkinkan Microsoft dan mitra kami untuk belajar dan meningkatkan. Upaya kolaboratif ini berkontribusi pada keselamatan dan ketahanan infrastruktur kritis kami.”