CVE-2025-47178

Vulnérabilité Critique dans Microsoft Configuration Manager : Injection SQL

Une faille de sécurité, identifiée sous la référence CVE-2025-47178, affecte Microsoft Configuration Manager. Cette vulnérabilité, révélée le 8 juillet 2025, résulte d’une mauvaise gestion des éléments spéciaux dans les commandes SQL.

Points Clés :

• Nature de la vulnérabilité : Injection SQL (“Improper neutralization of special elements used in an sql command”).
• Impact potentiel : Permet à un attaquant autorisé, disposant d’un accès réseau adjacent, d’exécuter du code malveillant via des commandes SQL injectées. Cela peut mener à une exécution de commandes arbitraires avec des privilèges élevés, y compris des commandes au niveau du système d’exploitation.
• Score CVSS 3.1 : 8 (Critique), avec un score d’impact de 5.9 et un score d’exploitabilité de 2.1.
• Vecteur d’attaque : Accès adjacent (AV:A), Faible complexité (AC:L), Privilèges de l’attaquant limités (PR:L), Aucune interaction utilisateur requise (UI:N), Portée inchangée (S:U), Impact élevé sur la confidentialité, l’intégrité et la disponibilité (C:H/I:H/A:H).
• Statut NVD : Analysé.

Vulnérabilités Identifiées :

• CVE-2025-47178 : Injection SQL dans Microsoft Configuration Manager due à une mauvaise neutralisation des éléments spéciaux dans les commandes SQL.

Recommandations :

Microsoft a publié des mises à jour de sécurité pour corriger cette vulnérabilité. Il est fortement recommandé d’appliquer ces correctifs, notamment les mises à jour KB34503790 et KB33926600, pour les versions affectées de Configuration Manager (2403, 2409, 2503).

Source