CVE-2025-30387 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞 (Path Traversal)。 📉 **后果**：攻击者可利用该漏洞**提升权限**，可能导致系统被完全控制。

🔍 **CWE**：CWE-22 (路径遍历)。 🐛 **缺陷点**：Azure AI Document Intelligence Studio 在处理文件路径时未正确验证输入，允许访问受限目录。

🏢 **厂商**：Microsoft (微软)。 📦 **组件**：Azure AI Document Intelligence Studio。 ☁️ **平台**：Microsoft Azure 云计算平台。

🔓 **权限**：**提升权限** (Elevation of Privilege)。 💾 **数据**：CVSS 评分显示 **C:H/I:H/A:H**，意味着机密性、完整性和可用性均受**高**度影响，数据泄露风险极大。

🚪 **利用门槛**：**低**。 ✅ **认证**：PR:N (无需权限)。 ✅ **交互**：UI:N (无需用户交互)。 ✅ **攻击向量**：AV:N (网络远程攻击)。

📜 **Exp/PoC**：漏洞数据中 **pocs 为空**，暂无公开现成代码。 🌍 **在野利用**：数据未提及，但鉴于利用门槛低，需警惕潜在利用。

🔎 **自查特征**：检查 Azure AI Document Intelligence Studio 部署实例。 📡 **扫描建议**：关注路径遍历相关特征，特别是针对 Document Intelligence Studio 的路径处理逻辑。

🛡️ **官方修复**：微软已发布安全更新指南。 🔗 **参考**：[MSRC 更新指南](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30387)。 📅 **发布时间**：2025-05-13。

⚠️ **临时规避**：若暂无补丁，建议限制对 Document Intelligence Studio 的网络访问。 🚫 **最小权限**：确保服务账户权限最小化，防止权限提升后的横向移动。

🔥 **优先级**：**极高**。 📊 **CVSS**：向量显示为高危，且无需认证即可利用。 🚀 **行动**：立即检查更新状态，尽快应用官方补丁。