CVE-2025-26644Средний
MSR
MSR
Центр реагирования Microsoft
Security Update Guide — источник истины по уязвимостям в продуктах Microsoft: номера KB-статей, затронутые сборки и заменяющие патчи. MSRC также присваивает собственный индекс эксплуатируемости, используемый наряду с CVSS.
Регион
США
Обновления
Patch Tuesday + по событиям
Лицензия
Проприетарная
Руководство по обновлениям безопасности Microsoft: Windows, Office, Azure, SQL Server, Exchange и прочие продукты первого уровня.
https://msrc.microsoft.com/update-guide →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
Механизм автоматического распознавания в Windows Hello использует неадекватные методы обнаружения или обработки входных данных, что позволя…
CVSS
5.1
Средний
EPSS
0.01
p38
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание
Механизм автоматического распознавания в Windows Hello использует неадекватные методы обнаружения или обработки входных данных, что позволяет неавторизованному злоумышленнику выполнить спуфинг локально [1]. Источники: - [1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26644
Теги · CWE
CWE-1039
CWE-1039КлассНеполный
Недостаточное обнаружение возмущений состязательных входных данных или ненадлежащая их обработка в автоматизированном механизме распознавания
Продукт использует автоматизированный механизм, например машинное обучение, для распознавания сложных входных данных (например, изображений или звука) как определённой концепции или категории, однако не обнаруживает надлежащим образом или не обрабатывает входные данные, которые были изменены или сформированы таким образом, чтобы заставить механизм определить другую, неверную концепцию.
https://cwe.mitre.org/data/definitions/1039.html →Открыть в коллекции CWE →Затронутые продукты
Windows_10_1809 < 10.0.17763.7136Windows_10_21h2 < 10.0.19044.5737Windows_10_22h2 < 10.0.19045.5737Windows_11_22h2 < 10.0.22621.5189Windows_11_23h2 < 10.0.22631.5189Windows_11_24h2 < 10.0.26100.3775Windows_server_2019 < 10.0.17763.7136Windows_server_2025 < 10.0.26100.3775
Вектор CVSS
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: L
Локальная (L)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: N
Отсутствует (N)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.005 · p38
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
| Продукт | Вендор | Статус |
|---|---|---|
| windows_10_1809 | * | Отслеживается |
| windows_10_21h2 | * | Отслеживается |
| windows_10_22h2 | * | Отслеживается |
| windows_11_22h2 | * | Отслеживается |
| windows_11_23h2 | * | Отслеживается |
| windows_11_24h2 | * | Отслеживается |
| windows_server_2019 | * | Отслеживается |
| windows_server_2025 | * | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
Показаны первые 20 из 87
Источники данных
MSR
MSR
Центр реагирования Microsoft
Security Update Guide — источник истины по уязвимостям в продуктах Microsoft: номера KB-статей, затронутые сборки и заменяющие патчи. MSRC также присваивает собственный индекс эксплуатируемости, используемый наряду с CVSS.
Регион
США
Обновления
Patch Tuesday + по событиям
Лицензия
Проприетарная
Руководство по обновлениям безопасности Microsoft: Windows, Office, Azure, SQL Server, Exchange и прочие продукты первого уровня.
https://msrc.microsoft.com/update-guide →CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →Связанные уязвимости