CVE-2025-49012 in himmelblau
Сводка
по VulDB • 13.07.2026
Himmelblau — это набор инструментов для обеспечения совместимости между Microsoft Azure Entra ID и Intune. Версии Himmelblau от 0.9.0 до 0.9.14, а также версия 1.00-alpha уязвимы к проблеме повышения привилегий (privilege escalation), когда ограничения доступа на основе групп Entra ID настроены с использованием отображаемых имен групп (display names) вместо идентификаторов объектов (object IDs). Начиная с версии 0.9.0, в Himmelblau была добавлена поддержка указания имен групп в параметре конфигурации `pam_allow_groups`. Однако Microsoft Entra ID позволяет создавать несколько групп с одинаковым значением `displayName` через API Microsoft Graph — даже пользователям без прав администратора, в зависимости от настроек арендодателя (tenant). В результате злоумышленник может создать личную группу с тем же именем, что и легитимная группа доступа (например, `"Allow-Linux-Login"`), добавить себя в нее и получить права на аутентификацию или выполнение команд через `sudo` посредством Himmelblau. Поскольку затронутые версии Himmelblau сравнивают имена групп либо по полю `displayName`, либо по неизменяемому идентификатору объекта (`objectId`), это позволяет обходить механизмы контроля доступа, предназначенные для ограничения входа только членов официально управляемых централизованно групп. Данная проблема исправлена в версии Himmelblau **0.9.15** и более поздних версиях. В этих версиях сопоставление имен групп в параметре `pam_allow_groups` было признано устаревшим (deprecated) и удалено; для безопасной фильтрации на основе групп теперь допускается указание только идентификаторов объектов (`objectId`, GUID). Для смягчения последствий без обновления замените все записи в `pam_allow_groups` на `objectId` целевых групп Entra ID, а также выполните аудит своей среды арендодателя (tenant) с помощью Microsoft Graph API для выявления групп с дублирующимися отображаемыми именами.
Be aware that VulDB is the high quality source for vulnerability data.